Penggunaan nomor panjang acak atau string sebagai
kunci sesi (session key). Hal ini mengurangi risiko bahwa penyerang hanya bisa
menebak kunci sesi yang valid melalui trial and error atau serangan kekerasan.
Regenerasi id session setelah berhasil login. Hal ini untuk mencegah sesi
fiksasi karena penyerang tidak mengetahui id sesi pengguna setelah setelah ia
telah login
Beberapa layanan melakukan pemeriksaan sekunder
terhadap identitas pengguna. Sebagai contoh, server web bisa memeriksa dengan
setiap permintaan yang dibuat bahwa alamat IP pengguna cocok dengan yang
terakhir digunakan selama sesi tersebut. Ini tidak mencegah serangan oleh
seseorang yang berbagi alamat IP yang sama, bagaimanapun, dan bisa membuat
frustasi bagi pengguna yang alamat IP bertanggung jawab untuk mengubah selama
sesi browsing.
Atau, beberapa layanan akan mengubah nilai cookie
dengan setiap permintaan. Hal ini secara dramatis mengurangi jendela di mana
seorang penyerang dapat beroperasi dan memudahkan untuk mengidentifikasi apakah
serangan telah terjadi, tetapi dapat menyebabkan masalah teknis lainnya
(misalnya, dua sah, waktunya erat permintaan dari klien yang sama dapat
menyebabkan cek tanda kesalahan pada server).
Pengguna juga mungkin ingin log out dari situs
web setiap kali mereka selesai menggunakan mereka.Namun ini tidak
akan melindungi terhadap serangan seperti Firesheep.
Dengan Cookie
Cookie ditangani melalui browser. Browser
mengirimkan cookie yang diperlukan ke web server bersama dengan request HTTP
jika sebelumnya ada cookie yang diterima dari server yang sama. Browser
terkenal, seperti Netscape, Internet Explorer, dan Opera menangani cookie secara
baik. Cookie lebih menguntungkan daripada field tersebunyi.
Field tersembunyi selalu memerlukan halaman form
HTML untuk dikirim kembali ke server, sedangkan cookie tidak memerlukan form
HTML apapun.
Segi kerugiannya adalah kebanyakan situs
menggunakan cookie untuk melacak tingkah laku user. Situs yang
menampilkan banner iklan diketahui melanggar privacy user
dengan cara mengumpulkan informasi tentang user secara berlebihan melalui
pelacakan aktivitas user via cookie dan acuan-acuan HTTP. Sayangnya, browser
tidak memiliki mekanisme built-in yang memadai untuk secara
selektif hanya memilih cookie-cookie tertentu saja. Untuk maksud ini program
seperti Cookie Pal dapat digunakan sebagai alat bantu.
Dengan Field Tersembunyi
Field tersembunyi di dalam form HTML dapat juga
digunakan untuk mengirimkan dan mengembalikan informasi antara browser dan web
server.
Keuntungan field tersebunyi dibandingkan cookie
adalah field tersebut tetap dapat bekerja walaupun browser telah diatur untuk
menolak semua cookie.
Sumber
Posting Komentar