Security Header HTTP
Hypertext Transfer Protocol (HTTP)
HTTP merupakan protokol pada lapisan aplikasi (application layer) yang digunakan untuk mendistribusikan dan mengkolaborasikan data dari client ke server (dan sebaliknya) menggunakan hipermedia pada jaringan internet. Pengembangan HTTP dilakukan oleh World Wide Web Consortium (W3C) dan grup Internet Engineering Task Force (IETF) yang dituangkan pada dokumen Request for Comments (RFC). Pengambangan HTTP pertama kali adalah versi 0.9 yang dapat mengirimkan data secara simple (hanya berfokus pada isi data, tanpa memandang tipe data dan encodingnya), seiring dengan perkembangan infrastruktur internet, perangkat pengguna dan kebutuhan pengiriman data, pada tahun 1999 HTTP dikembangkan kembali menjadi versi 1.1 untuk memperbaiki HTTP versi sebelumnya dan mengakomodir penambahan tipe data, encoding data, penggunaan proxy, cache, serta koneksi yang persistent.
Cara Kerja HTTP
HTTP memiliki 2 (dua) jenis transaksi data, yaitu permintaan (request) dari client ke server dan tanggapan (response) dari server ke client. Secara umum cara kerja protokol HTTP pada server adalah dengan mendengarkan port komunikasi, kemudian client akan mengirimkan kode request (misalnya GET / HTTP/1.1) diikuti dengan pesan MIME yang berisis informasi header, request header dan body data. Apabila request yang dikirimkan oleh client bernilai valid, maka server akan membalasnya dengan kode response HTTP/1.1 200 OK diikuti dengan pesan MIME yang berisi informasi header, response header dan body data. Tabel 1. dan 2. dibawah menunjukkan paket data request dan response pada HTTP.
Tabel 1. Paket data request pada HTTP
Tabel 2. Paket data request pada HTTP.
Header HTTP
Header HTTP merupakan nilai attribut berbasis teks yang ditetapkan oleh client dan server untuk melakukan kirim-terima data melalui mekanisme request dan response. Secara umum standar header HTTP 1.1 memiliki informasi mengenai teknik enkripsi yang digunakan pada konten, caching times-to-live, serta arah tujuan website. Paket HTTP dikirimkan melalui jaringan yang memungkinkan untuk di eksploitasi oleh pihak tidak berwenang, khususnya pada jaringan yang tidak terenkripsi, oleh karena itu perlu adanya implementasi teknik keamanan pada paket tersebut.
Keamanan Header HTTP Dalam Statistik
Berdasarkan hasil kegiatan Information Technology Security Assessment (ITSA) pada instansi pemerintah pusat maupun daerah tahun 2018 sampai dengan bulan Juli tahun 2019, terdapat 148 (seratus empat puluh delapan) aplikasi yang telah diperiksa keamanan header HTTP nya, dimana hanya 123 (seratus dua puluh tiga) aplikasi yang menampilkan hasil pemeririksaan, adapaun 14 (empat belas) aplikasi mengalami server down, 10 (sepuluh aplikasi) menerapakan setting WAF atau IPS yang tidak memungkinkan untuk dilakukan pemeriksaan dan 1 (satu) aplikasi localhost. Gambar 1. dibawah menunjukkan presentase aplikasi pada stakeholder pemerintah.
Leave a Reply
Want to join the discussion?Feel free to contribute!