Mengamankan Website dari Clickjacking Dengan X-Frame-Options

Internet adalah dunia yang luas dan tak terbatas. Sebagai sebuah dunia, internet, selain memiliki berbagai kebaikan, dunia maya juga menyimpan ribuan ancaman yang selalu mengintai siapa saja penggunanya yang tak waspada. Salah satu jenis serangan yang sedang marak terjadi saat ini adalah clickjacking. Mungkin sebagian orang masih banyak yang awam dengan istilah ini. Namun bagi para pegiat dunia maya, istilah ini adalah sesuatu yang sangat di waspadai. Sebelum membahas lebih lanjut mengenai bagaimana mengamankan website dari clickjacking dengan X-Frame-Options, mari sedikit lebih dulu mengulas apa itu clickjacking, beserta jenisnya karena clickjacking memiliki berbagai macam bentuk serangan yang sama-sama berbahaya.

Mengenal Clickjacking

Secara sederhana, clickjacking adalah sebuah tindakan jahat yang dilakukan oleh seorang atau sekelompok peretas dengan cara menipu pengguna untuk mengklik sebuah tombol atau tautan. Menjadi berbahaya karena peretas akan menanamkan sebuah script atau kode, dimana script tersebut bisa mencuri data atau mengendalikan komputer pengguna yang mengklik tautan atau tombol tersebut.

Istilah clickjacking sendiri pertama kali dipopulerkan oleh Jeremiah Grossman dan Robert Hansen pada tahun 2008. Clickjacking diketahui sebagai upaya menyembunyikan halaman asli untuk menipu pengunjung agar mengklik sebuah tautan atau pop up yang menutupi halaman asli suatu website. Bagi orang awam mengenali clickjacking memang sedikit membingungkan. Namun bagi pemilik website, serangan clickjacking termasuk ditakuti karena bisa menurunkan kredibilitas suatu website.

Ada juga yang menyebut clickjacking adalah sebuah serangan yang terjadi ketika sorang peretas menggunakan iframe untuk mengelabui pengguna agar menekan tombol click to action, seperti tombol atau tautan, dan mengarahkan ke server lainnya.

Beberapa Tindakan yang Terjadi Karena Clickjacking

• Menipu pengguna dengan menampilkan informasi sosial media mereka.
• Berbagi atau menyukai tautan di facebook.
• Mengklik iklan Google adsense untuk menghasilkan pendapatan bagi peretas.
• Membuat pengguna mengikuti seseorang di facebook atau twitter
• Mendownload dan menjalankan malware jahat yang bisa mengendalikan komputer pengguna dari jarak jauh.
• Memainkan video YouTube untuk meningkatkan views.

Mengamankan Website dari Clickjacking dengan X-Frame-Options

Mencegah clickjacking

Banyak cara untuk mencegah serangan clickjacking pada website kamu. Header keamaan HTTP menjadi salah satu cara untuk menghindari serangan clickjacking. Namun pada artikel kali ini, mengamankan website dari clickjacking dengan X-Frame-Options adalah teknik yang akan digunakan untuk menangkal modus jahat tersebut. X-Frame-Options adalah sebuah program header yang membantu menangkal clickjacking. Secara sederhana, teknik ini bekerja dengan tidak mengizinkan halaman untuk membuat bingkai dalam halaman.

Apa Itu X-Frame-Options?

X-Frame Options adalah sebuah header dari HTTP yang disebut juga sebagai header keamanan HTTP. Header ini telah ada sejak tahun 2008. Pada tahun 2013, header ini secara resmi dipublikasikan sebagai RFC 7034. Publikasi ini dikeluarkan oleh IETF, atau Internet Engineering Task Force. Namun publikasi ini ibelum sesuai dengan standar internet saat itu. Header ini akan memberi perintah kepada web browser ketika menghandle konten di dalamnya. Alasan utama dari langkah permulaan ini adalah untuk memberikan perlindungan dari clickjacking dengan tidak mengizinkan rendering bingkai pada halaman. Ini termasuk merender pada <frame>, <iframe>, atau <object>. Iframe digunakan untuk menyematkan dan mengisolasi konten pihak ketiga ke dalam website. Contoh penggunaan iframe termasuk tombol berbagi ke sosial media, Google Map, pemutar audio, pemutar video, dan juga iklan pihak ketiga.

Lalu, seberapa luas penggunaan X-Frame-Options sebagai sebuah standar keamanan? Pada tahun 2016, Scott Helme, seorang pakar keamanan internet membuat sebuah survey menarik. Ia menganalisa penggunaan header keamanan pada satu juta situs teratas di dunia, termasuk website pemeringkat, Alexa. Dan temuannya sungguh menarik.

Hasil surveynya menunjukkan, hanya ada 7,6% situs top dunia yang menggunakan header keamanan. Terhitung sangat rendah memang, meskipun situs yang masuk satu juta situs teratas dunia pasti memiliki sistem keamanan yang bagus. Namun siring berjalannya waktu, semakin banyak pengelola website yang semakin sadar akan keamanan websitenya dengan mengaplikasikan header keamanan.

Clickjacking termasuk mudah dijalankan, dan jika situsmu memiliki tindakan one click, maka kemungkinan besar akan semakin mudah terserang clickjacking.

Perintah X-Frame-Options

Header X-Frame-Options memiliki tiga perintah yang bisa kamu pilih. Ini harus diimplementasikan pada header HTTP, karena browser akan mengabaikannya jika ditemukan dalam Meta tag. Patut untuk diingat bahwa tidak semua perintah bisa berjalan di semua jenis browser. Meskipun begitu, tidak ada salahnya untuk mengaktifkan semua perintah untuk labih menjamin keamanannya.

Perintah Deny

Perintah Deny secara garis besar adalah sepenuhnya menonaktifkan loading halaman dalam bingkai, telepas dari situs apapun itu. Ini mungkin jalan terbaik untuk mengunci situsmu, namun juga akan menghentikan banyak fungsi. Beberapa situs yang menggunakan perintah deny adalah facebook dan github.

x-frame-options: deny

Perintah Sameorigin

Perintah sameorigin memungkinkan untuk sebuah halaman meloading bingkai dalam halaman, sesuai dengan halaman asli. Berikut tampilan untuk manampilkan perintah Sameorigin

Beberapa situs yang menggunakan perintah Sameorigin antara lain twitter, Amazon, eBay, dan LinkedIn.

Perintah Allow from url

Peritah ini memungkinkan halaman hanya akan meloading pada domain yang telah ditentukan. Berikut tampilan saat akan mengaktifkan perintah ini. Namun kamu harus hati-hati jika menggukan perintah ini. Apabila browsermu tak mendukung perintah ini, maka situs webmu tak akan memiliki pertahanan dari clickjacking.

Mengaktifkan Header X-Frame-Options

Header X-Frame-Options sangat mudah untuk diimplementasikan, dan hanya membutuhkan perubahan kecil pada konfigurasi web server. Kamu mungkin penasaran untuk memeriksa apakh sudah mengaktifkannya tau belum. Berikut cara cepat untuk melakukan pengecekan:

Bukalah tab network pada chrome dev tools, dan jika websitemu menggunakan perintah keamanan tersebut, maka ia akan muncul di tab tersebut.

Menghidupkan di Nginx

Untuk mengaktifkan header X-Frame-Options di Nginx, cukup tambahkan konfogurasi di bawah ini pada web servermu.

add_header x-frame-options “SSMEORIGIN” always;

Mengaktifkan di Apache

Untuk mengaktifkan header X-Frame-Options di Apache, cukup tambahkan konfigurasi ini ke http.conf file(Apache config file).

header always set x-frame-options “Sameorigin”

Mengaktifkan di IIS

Untuk mengaktifkan di IIS tambahkan di web.config file

Browser yang Mendukung X-Frame-Support

Pada bagian diatas disebutkan bahwa tak semua web browser mendukung header X-Frame-Options. Jadi, berhati-hatilah saat menggunakannya. Hampir semua browser modern mendukung pernggunaan perintah Deny dan Sameorigin.

Berikut daftar web browser yang mensupport perintah X-Frame-Options

Kesimpulan

Semoga tulisan ini bisa membuat kamu lebih memahami bagaimana langkah pencegahan clickjacking menggunakn metode header X-Frame-Options. Seperti yang tertera di bagian atas tulisan ini, sangat mudah untuk mengimplementsikan X-Frame-Options pada browsermu. Namun apabila kamu mengalami sedikit kesulitan, atau untuk mengetahui lebih lanjut bagaimana metode ini bekerja, kamu bisa menghubungi penyedia web hostingmu. IDwebhost memiliki beragam jenis paket hosting dan pembuatan website dengan harga termurah di Indonesia, memiliki tim support yang akan mengatasi permasalahan terkait dengan websitemu. Tunggu apalagi, beli paket hosting di IDwebhost sekarang!