• Skip to main content

Naga Cyber Defense

Trusted Security for all of Indonesia

  • Home
  • About
  • Programs
  • Contact
  • Blog
You are here: Home / Archives for Cookie

Cookie

Firefox Focus sekarang memblokir pelacakan lintas situs di perangkat Android

January 12, 2022 by Winnie the Pooh

Browser web Mozilla Firefox Focus sekarang dapat melindungi pengguna Android dari pelacakan lintas situs saat menjelajahi Internet dengan mencegah cookie digunakan untuk mengiklankan dan memantau aktivitas Anda.

Firefox Focus adalah peramban ringan untuk platform seluler (Android dan iOS) yang dirancang untuk melindungi privasi pengguna dengan memblokir iklan dan pelacak konten.

Total Cookie Protection, fitur di balik kemampuan baru ini, dirancang untuk memaksa semua situs menyimpan cookie mereka di “guci” terpisah untuk memblokir upaya melacak Anda di seluruh web dan membuat profil penjelajahan.

Pertama kali diperkenalkan oleh Mozilla pada Februari 2021 dengan Firefox 86 untuk desktop, fitur privasi ini melakukannya dengan memberi tahu browser untuk menggagalkan pembagian cookie antar situs web.

Empat bulan kemudian, pada Juni 2021, Mozilla mengaktifkan Total Cookie Protection secara default di jendela Penjelajahan Pribadi, dimulai dengan Firefox 89.

Sumber: Mozilla

Langkah ini merupakan bagian dari serangkaian perubahan Mozilla pada browser Firefox sambil memerangi upaya pelacakan online perusahaan teknologi iklan.

Selengkapnya: Bleeping Computer

Tagged With: Android, Browser, Cookie, Firefox Focus, Mozilla, Privacy

Kerentanan CSRF dan Cara Menghindarinya

August 10, 2021 by Winnie the Pooh

Cross-site request forgery (CSRF) adalah kerentanan keamanan berbasis web yang sangat populer. Melalui serangan CSRF, penyerang menipu pengguna untuk mengeksekusi atau melakukan aktivitas yang mengubah status, seperti memperbarui, menghapus, atau membuat permintaan tanpa disadari.

Serangan CSRF umumnya dimulai dengan teknik rekayasa sosial berbahaya, di mana penyerang mengirim atau menyematkan tautan permintaan berbahaya melalui obrolan, file HTML, dll., dan menunggu korban mengkliknya.

Sebagaimana dinyatakan dalam dokumentasi resmi OWASP, serangan CSRF dikenal dengan banyak nama, seperti XSRF, “Sea Surf”, Session Riding, dan hostile linking.

Apa Dampak Nyata Yang Diakibatkan?

Dampak serangan CSRF tergantung langsung pada sifat aplikasi target dan fitur/fungsi yang rentan.

Misalnya, jika aplikasi perbankan rentan terhadap CSRF, peretas dapat melakukan serangan CSRF untuk memperbarui/menghapus detail pengguna, meminta transfer dana, atau mengubah kata sandi tanpa sepengetahuan pengguna. Hal ini dapat mengakibatkan kerugian finansial bagi korban atau akun mereka diambil alih.

Oleh karena itu, dampak serangan ini dapat berkisar dari pembaruan detail sederhana hingga transfer dana, tergantung pada aplikasinya.

Kondisi untuk Serangan CSRF

Pertama, mari kita bahas dua kondisi penting yang dibutuhkan penyerang untuk melakukan serangan CSRF dengan sukses.

  1. Penanganan sesi berbasis cookie: Aplikasi memvalidasi session cookies yang dilampirkan pada permintaan untuk memvalidasi permintaan pengguna yang otentik. Artinya, penyerang hanya perlu memalsukan bagian yang tersisa dari permintaan HTTP. Membuka payload CSRF di browser terotentikasi yang sama akan secara otomatis menambahkan session cookies ke dalamnya, membuat permintaan pengguna yang sah dan lengkap.
  2. Tidak ada parameter permintaan pengguna yang tidak dapat ditebak: Tidak adanya parameter acak yang tidak dapat ditebak dalam permintaan HTTP membuat permintaan HTTP rentan terhadap pemalsuan dan CSRF. Hal ini memungkinkan penyerang berhasil memalsukan permintaan HTTP target dengan merujuk ke contoh permintaan HTTP yang sah.

Mengurangi Risiko Serangan CSRF

1. Gunakan Implementasi CSRF Bawaan atau yang Ada untuk Perlindungan CSRF

Kerangka kerja pengembangan populer seperti .Net, Java Spring, Django Python, dan Flask memiliki dukungan bawaan sebagai properti yang dapat dikonfigurasi.

Banyak dari kerangka pengembangan populer ini mendukung pertahanan pola token Synchronizer untuk CSRF. Selalu disarankan untuk meneliti dukungan bawaan yang ada untuk pertahanan CSRF dalam kerangka kerja ini sebelum menerapkan implementasi kustom apa pun untuk hal yang sama.

2. Mitigasi Berbasis Token

Token CSRF yang unik/tidak dapat diprediksi harus dibuat di sisi server per sesi. Saat klien memicu permintaan, server harus memverifikasi keberadaan dan validitas token CSRF dalam permintaan dengan membandingkannya dengan token yang ditemukan di sesi pengguna.

3. Pengiriman Cookie Ganda Berpola

Ini adalah solusi stateless untuk perlindungan CSRF. Dalam metode pengiriman cookie ganda, nilai acak dikirim dalam cookie dan parameter permintaan. Server memvalidasi keaslian permintaan dengan mengonfirmasi bahwa kedua nilai tersebut sama. Untuk mencapai ini, token CSRF acak yang aman dibuat dan disimpan sebagai cookie ketika pengguna masuk ke aplikasi.

Setiap kali pengguna mengirimkan permintaan server, token CSRF ini dikirim sebagai cookie dan juga ditambahkan sebagai bidang input tersembunyi ke dalam HTML. Jika keduanya cocok, maka server mengautentikasi permintaan, jika tidak maka akan ditolak.

Selengkapnya: Medium Faun.pub

Tagged With: Cookie, CSRF, Cybersecurity, Session Cookie

Penjelajahan yang lebih pribadi? Firefox semakin ketat dalam pelacakan cookie dengan perlindungan ‘total’ baru

February 26, 2021 by Winnie the Pooh

Mozilla, pembuat browser Firefox, telah meluncurkan fitur yang disebut Total Cookie Protection sebagai bagian dari “Mode Ketat” Perlindungan Pelacakan yang Ditingkatkan yang menjanjikan untuk membungkam pelacakan lintas situs.

Jika Anda disadap oleh perusahaan yang menggunakan cookie untuk melacak aktivitas online Anda di seluruh situs web, Mozilla mungkin punya jawabannya.

“Total Cookie Protection membatasi cookie ke situs tempat mereka dibuat, yang mencegah perusahaan pelacak menggunakan cookie ini untuk melacak penjelajahan Anda dari situs ke situs,” kata Mozilla dalam posting blog baru.

Fitur ini tersedia sebagai bagian dari fitur Firefox yang disebut Enhanced Tracking Protection.

Mozilla berpendapat bahwa sebagian besar browser mengizinkan cookie untuk dibagikan antar situs web, memungkinkan staf pemasaran untuk “menandai” browser dan melacak pengguna saat mereka menjelajahi situs.

“Jenis pelacakan berbasis cookie ini telah lama menjadi metode yang paling umum untuk mengumpulkan intelijen pada pengguna. Ini adalah komponen kunci dari pelacakan komersial massal yang memungkinkan perusahaan periklanan untuk diam-diam membangun profil pribadi Anda yang terperinci,” kata Mozilla.

Selengkapnya: ZDNet

Tagged With: Browser, Cookie, Firefox, Mozilla, Privacy

Bug Xbox dapat memungkinkan peretas untuk menautkan tag pemain dengan email pemain

November 26, 2020 by Winnie the Pooh

Microsoft telah menambal bug di situs web Xbox yang dapat memungkinkan pelaku ancaman menautkan tag (nama pengguna) Xbox ke alamat email asli pengguna.

Kerentanan tersebut dilaporkan ke Microsoft melalui program bounty bug Xbox yang baru-baru ini diluncurkan perusahaan.

Joseph “Doc” Harris, salah satu dari beberapa peneliti keamanan yang melaporkan masalah ini ke Microsoft, membagikan temuannya dengan ZDNet awal pekan ini.

Peneliti keamanan mengatakan bug tersebut terletak pada enforcement.xbox.com, portal web tempat pengguna Xbox melihat serangan terhadap profil Xbox mereka dan mengajukan banding jika mereka merasa telah ditegur secara tidak adil atas perilaku mereka di jaringan Xbox.

Setelah pengguna masuk ke situs web ini, situs Xbox Enforcement membuat file cookie di browser mereka dengan detail tentang sesi web mereka, jadi mereka tidak perlu mengautentikasi ulang saat mereka mengunjungi situs itu lagi.

Harris mengatakan bahwa file cookie portal yang disertakan berisi bidang ID pengguna (XUID) Xbox yang tidak terenkripsi.

Menggunakan alat yang disertakan dengan semua browser modern, Harris mengedit bidang XUID dan menggantinya dengan XUID dari akun pengujian yang telah dibuat dan digunakan untuk pengujian sebagai bagian dari program Xbox bug bounty.

Harris juga membagikan video bug, yang disematkan di bawah ini:

“Mencoba mengganti nilai cookie dan menyegarkan situs, dan tiba-tiba saya bisa melihat email [pengguna] lain,” kata Harris kepada ZDNet dalam sebuah wawancara minggu ini.

Sumber: ZDNet

Tagged With: Bug, Cookie, Cybersecurity, Microsoft, Security, Session Cookies, Xbox, XUID

Copyright © 2025 · Naga Cyber Defense · Sitemap

Cookies Settings
We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept”, you consent to the use of ALL the cookies.
Do not sell my personal information.
AcceptReject AllCookie Settings
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
Functional
Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
Performance
Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
Analytics
Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
CookieDurationDescription
_ga2 yearsThe _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_11 minuteSet by Google to distinguish users.
_gid1 dayInstalled by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
Advertisement
Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
Others
Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
non-necessary
SAVE & ACCEPT
Powered by CookieYes Logo