Sistem Manajemen Konten Situs Pemerintah Lemah

Sistem Manajemen Konten Situs Pemerintah Lemah

Berita dari okezone itu terlalu ditunggangi oleh yogyacardus, mosok situs pricil-pricil jebol koq dikit-dikit masuk berita. Sayaingin menulis komentar eh gak ada fasilitas tersebut. Akhirul kata ya ngimel ke redaksinya seperti di bawah. Barangkali ada yang pengen ikutan ngimel juga?


Dh,

Saya ingin menanggapi pemberitaan tentang bobolnya situs-situs pemerintah akhir-akhir ini. Saya melihat Okezone sangat mudah ditunggangi oleh oknum pelaku yang mengaku bernama Yogyacarding. Hal ini bisa menjadi publikasi murahan bagi Yogyacarding tersebut, dan menimbulkan citra tidak baik bagi situs-situs pemerintahan. Terlebih hanya URL-URL pinggiran yang bila lenyap pun orang tidak ambil pusing.

Dari sisi teknis, kebocoran di suatu situs adalah wajar adanya, mengingat teknologi ini terdiri dari banyak komponen yang tidak selalu terjaga dengan baik. Hal ini manusiawi belaka. Pemberitaan yang berlebihan dan tidak proporsional dapat membuat kesan yang salah. Apalagi sudah menjadi pengetahuan bersama bahwa situs pemerintah seringkali dibuat dan dirawat oleh rekanan-rekanan, yang notabene pihak-pihak swasta seperti Yogyacarding itu sendiri.

Di sisi lain, menyangkut respon balik pemberitaan, mengapa Okezone tidak menyediakan forum interaktif tempat menyampaikan pendapat dari pembaca. Bila forum tersebut ada, saya tidak repot-repot menulis lewat email ini (yang barangkali malah dibuang karena dianggap spam). Pada era web interaktif, bisa dibilang sistem manajemen konten dari Okezone payah.

Semoga menjadi perhatian. Terima kasih.

 

tapi seyogyacardingnya dngan kejadian itu seharusnya bisa
memberitahukan dimana kelemahan situs dan paling tidak itu sudah

Pada dasarnya, bila niat mereka baik tentu bukan dengan cara numpang nampang begitu, tapi dengan menghubungi admin situs yang bersangkutan. Tidak ada niat baik dengan cara merusak seperti yangg dilakukan yogyacardus itu.

sudah dibatasi untuk tdk membolehkan memasukkan tagHtml, php atau
sejenisnya, contoh aja misalnya i masukkan <? php echo “Allo”; ?>

Memang filter terhadap setiap jenis input (POST, GET, dkk) sangat penting, karena di sini titik rawan untuk menyisipkan kode-kode berbahaya. Baik itu berupa html, scripting, maupun sql query. Tapi kalo scripting seperti di atas, hanya akan ditampilkan bukan dijalankan.

http://www.depkominfo.go.id/portal/bow/data/banner/pic20080404131840304.jpg
bukankah itu memperlihatkan letak penyimpanan atau direktorinya.

Lalu bila diketahui direktorinya, bagaimana memasukkan file ke situ ? URL tidak selalu mencerminkan direktori, kita tahu (misal di Apache) ada url_rewrite. Pengamanan atas direktori termasuk hal yang mendasar.

saran saja, firewall jgn sampe kena hack server hosting web. mgkn

Saran ini kurang tepat, karena fungsi firewall adalah mengamankan LAN, bukan server web. Tujuan server web memang untuk publik alias terbuka. Jadi tinggal bagaimana server tersebut mengamankan dirinya sendiri (yang umum dilakukan hanya filter IP + port, secara konsep mirip firewall).

Jadi dari mana masuknya? Seperti saya bilang, komponen-komponen situs web itu banyak. Bisa dari server webnya (misal Apache). Bisa dari CMS-nya (misal Joomla). Bisa dari scripting languagenya (misal PHP). Bisa dari databasenya (misal sql injection). Bisa dari adminnya. Dan seterusnya. Nah, salah satu sisi buruk dari open source adalah, source-nya open, alias borok-borok dari program bisa dicari. Tidak perlu mengoprek sendiri, tapi cukup berburu via Google atau milismilis hacker, informasi ini bisa didapat. Apakah yogyacardus ini tergolong hacker atau sekedar ‘script kiddies’, saya tidak tahu. Barangkali hanya pakar telematika kita yang bisa menjawabnya (apalagi kalo pake bahasa jawa).

bukankah jika menembus firewall maka dapat diketahui alamat/ip
sebenarnya dari web server tersebut, dan jika diketahui..

Bedakan antara mengamankan LAN dan mengamankan web server. Lha bagaimana saya bisa ke web server bila IP-nya tidak diketahui? Memang ada koneksi ke server-server yang diperantarakan via proxy, misalnya di UI. Tapi fungsi proxy di sini lebih pada mengamankan jaringan UI, khususnya filtering IP dan port. Contoh lain situs presiden SBY, yang konon menggunakan server statis dan server dinamis.

Dalam praktek yang umum, web server itu memiliki IP publik dan terkoneksi langsung. Proxy memang dapat menutupi kelemahan di software webnya atau OS (misal Apache dan Linux), tapi kian hari kian sedikit lubang di situ. Yang seringkali menjadi titik lemah dan luput dari campur tangan pengaman apapun adalah CMS. Apalagi yang dibuat oleh rekanan-rekanan yang bisa dibayar murah dengan komisi berlimpah.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s