Oleh : Reza Ervani
Bismilahirrahmanirrahiim
Mari kita buat form php sederhana untuk melakukan login di sebuah website.
Pertama, Login tanpa SSL
Pertama-tama kita akan tes koneksi login tanpa SSL (via sebuah web yang menggunakan HTTP saja, bukan HTTPS)
Saat kita mengisikan username dan password, maka data akan dikirimkan melalui protokol HTTP saja, tanpa dienkripsi terlebih dahulu (dirubah ke dalam bentuk kode tertentu yang tidak bisa dibaca oleh manusia).
Di Wireshark, login yang kita lakukan akan terbaca seperti ini seperti ini :
Lalu masih dengan wireshark, kita dapat melihat detail entri data sebagai berikut :
Maka seperti yang anda lihat di bagian paling bawah gambar diatas username dan password terpapar dalam bentuk teks, tidak terenkripsi, sehingga orang lain bisa saja mencuri username dan password anda dan menggunakannya untuk hal-hal yang tidak anda inginkan.
Kedua, Login via SSL
Berikutnya kita akan tes koneksi dengan SSL. Maka data akan dikirim melalui HTTP over TLS (HTTPS) yang berarti data dienkripsi terlebih dahulu, sebelum dikirimkan keluar.
Kita dapat melihat data enkripsinya kurang lebih tampak seperti berikut :
Beda sekali bukan ?
Bagaimana Bahayanya ?
Praktek sederhana bisa seperti ini :
Banyak orang yang masih menganggap bahwa penggunaan wifi gratisan di tempat-tempat umum, seperti taman dan mall tidak beresiko bagi mereka, padahal bisa jadi pemancar Wifi yang digunakan terhubung dengan aplikasi sniffing (pengintai) seperti yang kami gunakan pada artikel ini.
Saat kita membuka form, mengisikan username dan password di sebuah website, pengintai itu dapat melihat apa yang kita ketikkan, apalagi jika form yang kita isi tidak terenkripsi dengan SSL. Maka dengan mudah mereka memanen username dan password yang kemudian bisa mereka gunakan untuk hal-hal yang kita tidak inginkan. Dan kemudian kita terkejut ketika akun facebook kita tiba-tiba dibajak, akun twitter kita tiba-tiba bobol dan lain-lain.
Untuk itu berhati-hatilah.
Semoga Allah Ta’ala menjaga kita semua. Aamiin.
Leave a Reply