Isu keamanan aplikasi berbasis web nampaknya belum digarap secara serius. Misalnya saja ketika pembangunan aplikasi pengelolaan jurnal secara elektronik (misalnya menggunakan Open Journal Systems) atau pembangunan aplikasi berbasis web yang lain, sisi keamanan sering kali tidak mendapatkan porsi yang memadai. Padahal keberlangsungan aplikasi tersebut di Internet ditentukan oleh ketahanannya dari sisi keamanan.

Suatu aplikasi berbasis web yang sudah tayang di Internet, harus memenuhi prosedur keamanan. Tujuannya agar aplikasi berbasis web tersebut tidak mudah dibobol atau di-hack oleh pihak yang tidak berwenang.

Dari banyak dan beragam upaya untuk meningkatkan keamanan suatu aplikasi web, salah satunya adalah meningkatkan dan membentengi aplikasi web dari sisi security headers. Langkah-langkah yang perlu dilakukan dijelaskan di bawah ini.

1.    Tahap pertama, Anda perlu melakukan scanning aplikasi website tersebut. Apakah sudah aman atau masih rentan dan pada level berapa tingkat keamanannya.

2.    Tentukan aplikasi berbasis web yang akan Anda amankan dari sisi security headers-nya. Tentukan alamat URL-nya dan coba kunjungi alamat tersebut.

3.    Arahkan browser ke alamat https://securityheaders.com/ dan masukkan url dari aplikasi yang akan diperiksa terlebih dahulu. Kemudian klik tombol Scan untuk memulai pemeriksaan. Hasil pemeriksaan akan ditampilkan dengan rentang dari A+ sampai F. Level A+ menyatakan security headers aplikasi berada pada tataran yang sangat aman, sedangkan F berada pada tataran yang sangat tidak aman.

4.    Secara gamblang, untuk meningkatkan sisi security headers pada aplikasi web, Anda harus menambahkan script kode keamanan. Tambahkan saja script di bawah ini pada file config.inc.php.

 Header always set X-XSS-Protection: "1; mode=block"

Header always set X-Content-Type-Options: "nosniff"

Header always set X-Frame-Options: "SAMEORIGIN"

Header always set Referrer-Policy: "strict-origin"

Header always set Permissions-Policy: "geolocation=(),midi=(),syncxhr=(),microphone=(),camera=(),magnetometer=(),gyroscope=(),fullscreen=(self),payment=()"

Header always set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"

Header always set Content-Security-Policy: "default-src 'self’ ; font-src *;img-src * data:; "

 5.    Setelah kode tersebut diinputkan, lakukan scanning ulang menggunakan https://securityheaders.com/. Hasilnya, aplikasi webiste sekarang berada pada nilai A+ yang artinya telah aman.

 Proses peningkatan keamanan suatu aplikasi berbasis web merupakan upaya yang terpadu. Banyak sisi yang harus diamankan dengan upaya pemutakhiran yang terus berlangsung. Tutorial ini hanya menjelaskan sisi security headers pada saat tulisan ini dibuat.

 

--------

Ditulis oleh Happy Chandraleka, S.T.

Pranata Komputer di Badan Kebijakan Pembangunan Kesehatan

Kementerian Kesehatan RI

Pada 16 April 2024

    Untuk memberikan komentar dan share pada pengetahuan ini, silahkan masuk disini!