INI GUNANYA MEMILIKI X-FRAME DI BLOG.

The website that you're trying to view on Am I Responsive (www.editblogtema.net) has X-Frame Options set to Same Origin or Deny
This isn't great for the tool, but it is a great thing for a more secure web.
Akhirnya statemen tertulis sebagai notifikasi pada saat pengujian halaman blog editblogtema, hanya saja situs penguji tidak tahu apakah saya menerapkan Same origin atau deny atau bahkan Allow-Form.

Tujuannya tidak lain adalah untuk melindungi halaman web atau blog dari serangan "Clickjacking Attack" oleh karena Clickjacking merupakan jenis serangan yang menyasar pada aplikasi web. Serangan ini memanipulasi tampilan sehingga ketika kita tertarik dan mengklik link tersebut akan diarahkan ke link palsu seperti yang diinginkan si penyerang. Untuk menghindari serangan tersebut melalui Apache, kita dapat menggunakan X-FRAME-OPTIONS.

BLOGGING BUKAN HANYA MEMBUAT KONTEN.

Ternyata blogging bukan semata mata menulis dan membuat konten ya. Dari di copy habis, di mirror dan serbu jingling editblog yang baru berusia 6 bulan ini telah "menderita" cukup banyak. Tibalah saatnya memikirkan keamanan!

Penggunaan X-Frame-Options:
X-Frame-Options HTTP response header dapat digunakan untuk mendeteksi apakah suatu browser diperbolehkan untuk rendering halaman web dalam <frame> atau <iframe>.

Sebuah web dapat menggunakan ini untuk menghindari serangan clickjacking, dengan menjamin bahwa konten web tersebut tidak embedded ke dalam web lain.

Ada 3  nilai pada X-Frame-Options:
DENY
Halaman web tidak dapat di tampilkan dalam frame.
SAMEORIGIN
Halaman web hanya dapat ditampilkan dalam frame pada halaman yang sama.
ALLOW-FROM https://domain.com/

Halaman web dapat ditampilkan dalam frame pada url spesifik.
Konfigurasi Apache
Pada apache, kita dapat mengkonfigurasi X-Frame-Options di /etc/apache2/httpd.conf (ubuntu):

Header always append X-Frame-Options SAMEORIGIN

enable-kan headers module dengan perintah:

# sudo a2enmod headers

JADI APA ITU CLICKJACKING?

Adalah sebuah serangan yang terjadi ketika penyerang menggunakan iframe transparan pada sebuah jendela untuk mengelabui pengguna agar mengklik CTA, seperti tombol atau link menuju server dengan jendela yang serupa. Penyerang melakukan manipulasi memindahkan pengguna dari server asli ke server lain. Celakanya serangan ini juga menyasar ke pengunjung blog anda mereka akan mengalami hal itu. Ngeri kan.

Ada juga yang bilang clickjacking itu adalah trik peretas membuat duplikat sebuah situs, misalnya sebuah situs seperti Facbook sehingga korban tertipu menyangka itu adalah situs asli facebook.

Dibawah ini daftar sasaran serangannya:
  • Menipu pengguna dengan membuat profile jaringan sosial menjadi publik
  • Berbagi atau ngelike link di Facebook
  • Mengklik iklan Google Adsense agar mendapatkan lebih banyak revenue klik
  • Membuat pengguna mengikuti seseorang di Twitter atau di Facebook
  • Mendonlot dan menjalankan malware, virus (software perusak) membuat penyerang memiliki akses untuk mengontrol perangkat atau komputer kita secara remote
  • Untuk mendapatkan like di Facebook, fanpage atau di Google Plus penyerang
  • Memainkan video YouTube untuk meningkatkan view si penyerang
Browser browser besar mumnya telah menggunakan x-frame seperti: chrome, firefox, safari, opera dan edge.


www.editblogtema.net

4 Komentar

Silahkan berkomentar sesuai dengan topik kita ya...

  1. Bingung. Topik bahasan ini baru saya ketahui. Entah apakah peramban Firefox dan Chrome yang ada di komputer saya bisa mengatasi serangan clickjacking.
    Kesal juga ada yang jahat gunakan kecerdasan memahami teknologi untuk mengelabui pihak lain, bahkan merugikan. Semoga saya tak alami hal demikian, pun pengunjung blog saya.

    BalasHapus
    Balasan
    1. Peramban tidak serta merta dapat melindungi sebuah halaman blog harus di setting terlebih dahulu

      Hapus
  2. Clickjacking apa sama seperti jingling atau bomclick?

    BalasHapus
    Balasan
    1. Tidak sama. Jingling adalah pekerjaan hacking yang dengan tujuan tertentu menggunakan bot bot net mengunjungi dan mengklik secara massal sebuah website sampai down atau tidak. Sehingga trafik blog seolah naik secara drastis. Namun merugikan adsense.

      Sedangkan clickjacking adalah tindakan menduplikasi atau meng"embed" sebuah halaman web dengan tujuan mengecoh atau menyesatkan pengguna kehalaman web yang ditargetkan. Tujuannya seperti yang saya tulis diatas.

      Hapus
Lebih baru Lebih lama

Formulir Kontak