Rabu, 04 Juli 2012

KEAMANAN DATABASE



 Keamanan merupakan suatu proteksi terhadap pengrusakan data dan pemakaian data oleh pemakai yang tidak punya kewenangan.

Penyalahgunaan Database :
  1. Tidak disengaja, jenisnya :
    1. kerusakan selama proses transaksi
    2. anomali yang disebabkan oleh akses database yang konkuren
    3. anomali yang disebabkan oleh pendistribuasian data pada beberapa komputer
    4. logika error yang mengancam kemampuan transaksi untuk mempertahankan konsistensi database.
  2. Disengaja, jenisnya :
    1. Pengambilan data / pembacaan data oleh pihak yang tidak berwenang.
    2. Pengubahan data oleh pihak yang tidak berwenang.
    3. Penghapusan data oleh pihak yang tidak berwenang.

Tingkatan Pada Keamanan Database :
  1. Fisikal à lokasi-lokasi dimana terdapat sistem komputer haruslah aman secara fisik terhadap serangan perusak.
  2. Manusia à wewenang pemakai harus dilakukan dengan berhati-hati untuk mengurangi kemungkinan adanya manipulasi oleh pemakai yang berwenang
  3. Sistem Operasi à Kelemahan pada SO ini memungkinkan pengaksesan data oleh pihak tak berwenang, karena hampir seluruh jaringan sistem database menggunakan akses jarak jauh.
  4. Sistem Database à Pengaturan hak pemakai yang  baik.



Keamanan Data :

1. Otorisasi :
  • Pemberian Wewenang atau hak istimewa (priviledge) untuk mengakses sistem atau obyek database
  • Kendali otorisasi (=kontrol akses) dapat dibangun pada perangkat lunak dengan 2 fungsi :
  • Mengendalikan sistem atau obyek yang dapat diakses
  • Mengendalikan bagaimana pengguna menggunakannya
  • Sistem administrasi yang bertanggungjawab untuk memberikan hak akses dengan membuat account pengguna.

2. Tabel View :
  • Merupakan metode pembatasan bagi pengguna untuk mendapatkan model database yang sesuai dengan kebutuhan perorangan. Metode ini dapat menyembunyikan data yang tidak digunakan atau tidak perlu dilihat oleh pengguna.
  • Contoh pada Database relasional, untuk pengamanan dilakukan beberapa level :
1.      Relasi (pengguna diperbolehkan atau tidak diperbolehkan mengakses langsung suatu relasi)
2.      View (pengguna diperbolehkan atau tidak diperbolehkan mengakses data yang terapat pada view)
3.      Read Authorization
 pengguna diperbolehkan membaca data, tetapi tidak dapat memodifikasi.
4.      Insert Authorization(pengguna diperbolehkan menambah data baru, tetapi tidak dapat memodifikasi data yang sudah ada).
5.      Update Authorization ( pengguna diperbolehkan memodifikasi data, tetapi tidak dapat menghapus data).
6.      Delete Authorization (pengguna diperbolehkan menghapus data).

  • Untuk Modifikasi data terdapat otorisasi tambahan :
1.      Index Authorization (pengguna diperbolehkan membuat dan menghapus index data).
2.      Resource Authorization (pengguna diperbolehkan membuat relasi-relasi baru).
3.      Alteration Authorization (pengguna diperbolehkan menambah/menghapus atribut suatu relasi).
4.      Drop Authorization (pengguna diperbolehkan menghapus relasi yang sudah ada).

  • Contoh perintah menggunakan SQL :

GRANT : memberikan wewenang kepada pemakai
Syntax : GRANT <priviledge list> ON <nama relasi/view> TO <pemakai>
Contoh :
GRANT SELECT ON S TO BUDI
GRANT SELECT,UPDATE (STATUS,KOTA) ON S TO ALI,BUDI
REVOKE : mencabut  wewenang yang dimiliki oleh pemakai
Syntax : REVOKE <priviledge list> ON <nama relasi/view> FROM <pemakai>
Contoh :
REVOKE SELECT ON S TO BUDI
REVOKE SELECT,UPDATE (STATUS,KOTA) ON S TO ALI,BUDI

Priviledge list : READ, INSERT, DROP, DELETE, INEX, ALTERATION, RESOURCE


3. Backup data dan recovery :

Backup : proses secara periodik untuk mebuat duplikat ari database dan melakukan logging file (atau program) ke media penyimpanan eksternal.

Jurnaling : proses menyimpan dan mengatur log file dari semua perubahan yang dibuat di database untuk proses recovery yang efektif jika terjadi kesalahan.

Isi Jurnal :
  • Record transaksi
1.      Identifikasi dari record
2.      Tipe record jurnal (transaksi start, insert, update, delete, abort, commit)
3.      Item data sebelum perubahan (operasi update dan delete)
4.      Item data setelah perubahan (operasi insert dan update)
5.      Informasi manajemen jurnal (misal : pointer sebelum dan record jurnal selanjutnya untuk semua transaksi
  • Record checkpoint : suatu informasi pada jurnal untuk memulihkan database dari kegagalan, kalau sekedar redo, akan sulit penyimpanan sejauh mana jurnal untuk mencarinya kembali, maka untuk membatasi pencarian menggunakan teknik ini.

Recovery : merupakan upaya uantuk mengembalikan basis data ke keadaaan yang dianggap benar setelah terjadinya suatu kegagalan.

3 Jenis Pemulihan :
  1. Pemulihan terhadap kegagalan transaksi : Kesatuan prosedur alam program yang dapat mengubah / memperbarui data pada sejumlah tabel.
  2. Pemulihan terhadap kegagalan media : Pemulihan karena kegagalan media dengan cara mengambil atau memuat kembali salinan basis data (backup)
  3. Pemulihan terhadap kegagalan sistem : Karena gangguan sistem, hang, listrik terputus alirannya.

Fasilitas pemulihan pada DBMS :
  1. Mekanisme backup secara periodik
  2. fasilitas logging dengan membuat track pada tempatnya saat transaksi berlangsung dan pada saat database berubah.
  3. fasilitas checkpoint, melakukan update database yang terbaru.
  4. manager pemulihan, memperbolehkan sistem untuk menyimpan ulang database menjadi lebih konsisten setelah terjadinya kesalahan.

Teknik Pemulihan :
  1. defered upate / perubahan yang ditunda : perubahan pada DB tidak akan berlangsung sampai transaksi ada pada poin disetujui (COMMIT). Jika terjadi kegagalan maka tidak akan terjadi perubahan, tetapi diperlukan operasi redo untuk mencegah akibat dari kegagalan tersebut.
  2. Immediate Upadate / perubahan langsung : perubahan pada DB akan segera tanpa harus menunggu sebuah transaksi tersebut disetujui. Jika terjadi kegagalan diperlukan operasi UNDO untuk melihat apakah ada transaksi yang telah disetujui sebelum terjadi kegagalan.
  3. Shadow Paging : menggunakan page bayangan imana paa prosesnya terdiri dari 2 tabel yang sama, yang satu menjadi tabel transaksi dan yang lain digunakan sebagai cadangan. Ketika transaksi mulai berlangsung kedua tabel ini sama dan selama berlangsung tabel transaksi yang menyimpan semua perubahan ke database, tabel bayangan akan digunakan jika terjadi kesalahan. Keuntungannya adalah tidak membutuhkan REDO atau UNDO, kelemahannya membuat terjadinya fragmentasi.


4. Kesatuan data dan Enkripsi :

  • Enkripsi : keamanan data
  • Integritas :metode pemeriksaan dan validasi data (metode integrity constrain), yaitu berisi aturan-aturan atau batasan-batasan untuk tujuan terlaksananya integritas data.
  • Konkuren : mekanisme untuk menjamin bahwa transaksi yang konkuren pada database multi user tidak saling menganggu operasinya masing-masing. Adanya penjadwalan proses yang akurat (time stamping).


Cara Mengamankan Website Anda Dari Serangan Hacker



Yang perlu diingat adalah agar jangan pernah menganggap bahwa website kita selamanya aman dari serangan hacker. Tidak hanya website besar yang memiliki ramai pengunjung, bahkan terkadang website kecil-kecilan yang dibuat dengan bentuk sederhana yang mungkin kita sendiri mengganggapnya tak memiliki harga sekalipun kerap menjadi santapan para hacker. Percayalah bahwa hal tersebut akan terjadi pada siapa saja tanpa terduga.
Umumnya para hacker mengambil alih website melalui beberapa cara seperti: Deface, SQL Injection, Malware, XSS, RFI, CRLF, CSRF, Base64 dsb. Berikut ini adalah beberapa trik pencegahan yang dapat anda upayakan untuk mengamankan website anda sebelum website kita menjadi korban hacker:

Password
Pastikan agar anda menggunakan password yang kuat dengan kombinasi a-z, A-Z, 1-0, dan kode simbol seperti !@#$%^&*(). Selain itu ada baiknya agar anda mengubah password anda secara berkala untuk memaksimalkan keamanan website anda.

Versi WordPress
Pastikan agar anda selalu meng-update versi wordpress anda ke versi terbaru. Karena wordpress menyempurnakan fitur dan celah keamanan dari versi ke versi selain itu juga dapat meminimalisir informasi kepada hacker mengenai versi wordpress yang anda gunakan. Anda dapat melakukan ini melalui dasbuard wordpress anda.
Pada umumnya, pada theme standar anda dapat menyembunyikan versi wordpress anda melalui Appeareance > Editor. Lalu editlah pada bagian function.php dan hapus berikut <?php remove_action(‘wp_head’, ‘wp_generator’); ?> Umumnya tidak semua theme menyediakan informasi mengenai versi wordpress, namun beberapa theme tetap meninggalkan informasi ini.


File Permission

File Permission adalah fitur yang disediakan pada halaman CPanel bagian File Manager pada server hosting anda yang digunakan untuk merubah parameter standar pada sebuah file satuan ataupun kumpulan untuk memungkinkan file tersebut diakses, dibaca ataupun dirubah oleh pengguna. Umumnya hacker yang dapat dikatakan berhasil apabila telah melakukan inject dan berhasil  mereset password admin anda. Untuk itu anda dapat membatasi hal tersebut dengan mengunci file permission pada cpanel tersebut. Cara merubah file permission adalah dengan klik kanan pada file yang bersangkutan lalu akan terdapat 3 baris kotak yang dapat dicentang atau dihilangkan centangnya. Anda tidak perlu mengubah semua file permision pada file website anda namun ada baiknya anda mengubah permission pada file-file berikut dan nilai yang direkomendasikan:
.htaccess  – ubah menjadi 444 atau 404
wp-config.php
– ubah menjadi 444 atau 400
index.php
– 444 atau 400
wp-blog-header.php
– 400 atau 444
wp-admin
– 755 atau 705
wp-includes
– 755 atau 705
wp-content
– 755 atau 705
wp-content/bps-backup
– 755

Sembunyikan Plugin Anda

Usahakan agar anda menyembunyikan semua plugin yang anda gunakan. Hal ini untuk menutup kemungkinan dan memberi ide kepada hacker untuk menemukan mana-mana saja plugin yang dapat dijadikan celah untuk melakukan hack. Untuk menyembunyikan plugin yang terinstal pada wordpress anda, dapat meng-upload file index kosong ke dalam folder /wp-content/plugins/

White list pada .htaccess

Untuk mencegah hacker mengotak-atik folder admin anda ada baiknya anda memasukkan daftar IP Whitelist yang diperbolehkan untuk mengakses folder-folder penting pada website anda sehingga tidak akan ada orang yang dapat melihat folder admin kecuali anda dan daftar IP yang diberikan izin akses. Untuk melakukan hal ini anda dapat menambahkan beberapa baris script kode pada file .htaccess anda yang terletak pada file Manager didalam Cpanel. (munculkan bila tersembunyi). Secara default, letak file .htaccess adalah didalam /wp-admin/
Berikutnya tambahkan kode dibawah ini untuk melindungi halaman wp-login.php dan wp-config.php anda sehingga hanya IP tertentu yang dapat mengakses halaman tersebut:
<Files wp-login.php> Order deny,allow
Deny from All Allow from xxx.xxx.xxx.xxx </Files>
<files wp-config.php> order allow,deny from all</files>

ganti xxx. dengan alamat IP anda. Trik diatas juga dapat melindungi wp-config anda agar tidak dapat dilihat isinya karena informasi yang tersimpan didalam wp-config sangat vital karena terdapat username dan password website anda.
Anda dapat mengedit file .htaccess ini langsung melalui cpanel atau melalui komputer anda namun sebaiknya file ini anda backup terlebih dahulu.

Plugins Security

Beberapa plugins dibawah ini dapat berfungsi maksimal untuk melindungi file-file penting yang rentan menjadi sasaran utama para hacker untuk diserang. Anda dapat menginstal plugin-plugin berikut:
(untuk melindungi file .htaccess dan fitur-fitur security lainnya.

Login LockDown(untuk melindungi halaman anda dari ‘brute force attact’, mencatat IP yang berusaha untuk login ke website anda juga memblog IP yang mencurigakan.)

wordPress Firewall(dapat memblokir script-script dan parameter yang mencurigakan)

Timthumb Vulnerability Scanner(untuk mendeteksi script-script mencutigakan yang ditanam oleh hecker yang memanfaatkan situs anda).

Themes
Upayakan agar anda tidak mendownload theme yang tidak jelas sumbernya ataupun versi yang Nulled. Karena memungkinkan bagi hacker untuk menambahkan script-script yang dapat dimanfaatkan untuk menyusup kedalam website anda.

Plugin Update

Banyak hacker memanfaatkan celah pada beberapa plugin yang menurut mereka dapat diserang. Oleh karena itulah para pembuat plugin terus menyempurnakan plugin-plugin mereka selain untuk memperkaya fitur juga meningkatkan keamanan yang sebelumnya dapat dimanfaatkan oleh hacker.

Backup Database

Untuk mencegah kemungkinan terburuk sangat disarankan agar anda melakukan update database pada wordpress anda dengan bantuan wp-db-backup atau wp-time-machine. wp-time-machine mempunyai fitur melakukan full backup situs wordpress anda, mulai dari image, comment, postingan, theme hingga semua plugin anda.

Demikianlah informasi mengenai cara mengamankan website anda dari serangan hacker. Apabila anda adalah seorang awam dimana website anda sudah terlajur terkena hack, anda mempunyai 3 opsi untuk memperbaikinya:
  1. Anda dapat melakukan restore data backup yang anda simpan dikomputer anda. Setelah itu segeralah mengganti password anda.
  2. Mintalah bantuan kepada pihak hosting untuk memperbaiki website anda. Umumnya pihak hosting mempunyai tenaga ahli untuk menangani hal ini.
  3. Cara terakhir, anda dapat mengkontak sang hacker tersebut serta membicarakannya dengan baik-baik. Umumnya para hacker meninggalkan alamat email yang dapat dihubungi meskipun beberapa lainnya tidak meninggalkan jejak apa-apa. Namun biasanya bagi hacker yang meninggalkan jejak email masih memungkinkan untuk dimintai bantuan agar mengembalikan website anda. Namun pada umumnya komunitas hacker di Indonesia banyak diantaranya yang melakukan hack dengan tujuan untuk mengingatkan pengguna agar dapat meningkatkan sekuriti pada website korban agar dapat melakukan perbaikan selanjutnya. Ya, terkadang hacker golongan ini memberi masukan berharga kepada kita semua. ^_^

Selasa, 03 Juli 2012

KEAMANAN SISTEM WORD WIDE WEB




World Wide Web (WWW ) merupakan salah satu ‘killer Applications ’ yang menyebabkan populernya Internet. WWW dikembangkan oleh Tim Berners-Lee ketika bekerja di CERN (Swiss).Kehebatan Web adalah kemudahannya untuk mengakses informasi, yang dihubungkan satu dengan lainnya melalui konsep hypertext.
Pembaca atau peraga sistem WWW yang lebih dikenal dengan istilah browser dapat diperoleh dengan mudah, murah atau gratis. Contoh browser adalah Netscape, Internet Explorer, Opera, kfm (KDE file manager di sistem Linux), dan masih banyak lainnya. Kemudahan penggunaan program browser inilah yang memicu populernya WWW.

Berkembangnya WWW dan Internet menyebabkan pergerakan system informasi untuk menggunakannya sebagai basis. Banyak sistem yang tidak terhubung ke Internet tetapi tetap menggunakan basis Web sebagai basis untuk sistem informasinya yang dipasang di jaringan Intranet. Untuk itu, keamanan sistem informasi yang berbasis Web dan teknologi Internet bergantung kepada keamanan sistem Web tersebut.

Arsitektur sistem Web terdiri dari dua sisi: server dan client. Keduanya dihubungkan dengan jaringan komputer (computer network). Selain menyajikan data-data dalam bentuk statis, sistem Web dapat menyajikan data dalam bentuk dinamis dengan menjalankan program. Program ini dapat dijalankan di server (misal dengan CGI, servlet) dan di client (applet, Javascript). Sistem server dan client memiliki permasalahan yang berbeda. Keduanya akan dibahas secara terpisah.

Ada asumsi dari sistem Web ini. Dilihat dari sisi pengguna:

·         Server dimiliki dan dikendalikan oleh organisasi yang mengaku memiliki server tersebut. Maksudnya, jika sebuah server memiliki domain www.bni.co.id dan tulisan di layar menunjukkan bahwa situs itu merupakan milik Bank BNI maka kita percaya bahwa server tersebut memang benar milik Bank BNI.

·         Dokumen yang ditampilkan bebas dari virus, trojan horse, atau itikad jahat lainnya. Bisa saja seorang yang nakal memasang virus di web nya. Akan tetapi ini merupakan anomali.
·         Server tidak mendistribusikan informasi mengenai pengunjung (user yang melakukan browsing) kepada pihak lain. Hal ini disebabkan ketika kita mengunjungi sebuah web site, data-data tentang kita (nomor IP, operating system, browser yang digunakan, dll.) dapat dicatat. Pelanggaran terhadap asumsi ini sebetulnya melanggar privacy. Jika hal ini dilakukan maka pengunjung tidak akan kembali ke situs ini.


Asumsi dari penyedia jasa (webmaster) antara lain:
·         Pengguna tidak beritikad untuk merusak server atau mengubah isinya (tanpa ijin).
·         Pengguna hanya mengakses dokumen-dokumen atau informasi yang diijinkan diakses. Seorang pengguna tidak mencoba-coba masuk ke direktori yang tidak diperkenankan (istilah yang umum digunakan adalah “directory traversal”).
·         Identitas pengguna benar. Banyak situs web yang membatasi akses kepada user-user tertentu. Dalam hal ini, jika seorang pengguna “login” ke web, maka dia adalah pengguna yang benar.

Asumsi kedua belah pihak:
·         Jaringan komputer (network) dan komputer bebas dari penyadapan pihak ketiga.
·         Informasi yang disampaikan dari server ke pengguna (dan sebaliknya) terjamin keutuhannya dan tidak dimodifikasi oleh pihak ketiga yang tidak berhak.


Asumsi-asumsi di atas bisa dilanggar sehingga mengakibatkan adanya
masalah keamanan.
Keamanan Server WWW
Keamanan server WWW biasanya merupakan masalah dari seorang administrator. Dengan memasang server WWW di sistem anda, maka anda membuka akses (meskipun secara terbatas) kepada orang luar. Apabila server anda terhubung ke Internet dan memang server WWW anda disiapkan untuk publik, maka anda harus lebih berhati-hati sebab anda membuka pintu akses ke seluruh dunia!

Server WWW menyediakan fasilitas agar client dari tempat lain dapat mengambil informasi dalam bentuk berkas (file), atau mengeksekusi perintah (menjalankan program) di server. Fasilitas pengambilan berkas
dilakukan dengan perintah “GET”, sementara mekanisme untuk mengeksekusi perintah di server dapat dilakukan dengan “CGI” (Common Gateway Interface), Server Side Include (SSI), Active Server Page (ASP).

Adanya lubang keamanan di sistem WWW dapat dieksploitasi dalam bentuk yang beragam, antara lain:

·         informasi yang ditampilkan di server diubah sehingga dapat mempermalukan perusahaan atau organisasi anda .
·         informasi yang semestinya dikonsumsi untuk kalangan terbatas (misalnya laporan keuangan, strategi perusahaan anda, atau database client anda) ternyata berhasil disadap oleh saingan anda (ini mungkin disebabkan salah setup server, salah setup router / firewall, atau salah setup authentication);
·         informasi dapat disadap (seperti misalnya pengiriman nomor kartu kredit untuk membeli melalui WWW, atau orang yang memonitor kemana saja anda melakukan web surfing);
·         server anda diserang (misalnya dengan memberikan request secara bertubi-tubi) sehingga tidak bisa memberikan layanan ketika dibutuhkan (denial of service attack);
·         untuk server web yang berada di belakang firewall, lubang keamanan di server web yang dieksploitasi dapat melemahkan atau bahkan menghilangkan fungsi dari firewall (dengan mekanisme tunneling).


Membatasi akses melalui Kontrol Akses

Sebagai penyedia informasi (dalam bentuk berkas-berkas), sering diinginkan pembatasan akses. Misalnya, diinginkan agar hanya orang-orang tertentu yang dapat mengakses berkas (informasi) tertentu. Pada prinsipnya ini adalah masalah kontrol akses. Pembatasan akses dapat dilakukan
dengan:
membatasi domain atau nomor IP yang dapat mengakses;
menggunakan pasangan userid & password;
mengenkripsi data sehingga hanya dapat dibuka (dekripsi) oleh orang
yang memiliki kunci pembuka.


Secure Socket Layer
Salah satu cara untuk meningkatkan keamanan server WWW adalah dengan menggunakan enkripsi pada komunikasi pada tingkat socket. Dengan menggunakan enkripsi, orang tidak bisa menyadap data-data (transaksi)
yang dikirimkan dari/ke server WWW. Salah satu mekanisme yang cukup populer adalah dengan menggunakan Secure Socket Layer (SSL) yang mulanya dikembangkan oleh Netscape.Selain server WWW dari Netscape, beberapa server lain juga memilikifasilitas SSL juga.

Mengetahui Jenis Server
Informasi tentang web server yang digunakan dapat dimanfaatkan oleh perusak untuk melancarkan serangan sesuai dengan tipe server dan operating system yang digunakan. Seorang penyerang akan mencari tahu software dan versinya yang digunakan sebagai web server, kemudian mencari informasi di Internet tentang kelemahan web server tersebut. Informasi tentang program server yang digunakan sangat mudah diperoleh.

Cara yang paling mudah adalah dengan menggunakan program “telnet” dengan melakukan telnet ke port 80 dari server web tersebut, kemudian menekan tombol return dua kali. Web server akan mengirimkan respon dengan didahuli oleh informasi tentang server yang digunakan. Program Ogre (yang berjalan di sistem Windows) dapat mengetahui program server web yang digunakan. Sementara itu, untuk sistem UNIX, program lynx dapat digunakan untuk melihat jenis server dengan menekan kunci “sama
dengan” (=).

Keamanan Program CGI

Common Gateway Interface (CGI) digunakan untuk menghubungkan sistem WWW dengan software lain di server web. Adanya CGI memungkinkan hubungan interaktif antara user dan server web.
CGI seringkali digunakan sebagai mekanisme untuk mendapatkan informasi dari user melalui “fill out form”, mengakses database, atau menghasilkan halaman yang dinamis.

 Potensi lubang keamanan yang dapat terjadi dengan CGI antara lain:

·         Seorang pemakai yang nakal dapat memasang skrip CGI sehingga dapat mengirimkan berkas password kepada pengunjung yang mengeksekusi CGI tersebut.
·         Program CGI dipanggil berkali-kali sehingga server menjadi terbebani karena harus menjalankan beberapa program CGI yang menghabiskan memori dan CPU cycle dari web server.
·         Program CGI yang salah konfigurasi sehingga memiliki otoritas seperti sistem administrator sehingga ketika dijalankan dapat melakukan perintah apa saja. Untuk sistem UNIX, ada saja administrator yang salah seting sehingga server web (httpd) dijalankan oleh root.
·         CGI guestbook yang secara otomatis menambahkan informasi ke dalam halaman web seringkali disalahgunakan oleh orang yang nakal dengan mengisikan link ke halaman pornografi atau diisi dengan sampah (junk text) sehingga memenuhi disk pemilik web.
·         Teks (informasi) yang dikirimkan ke CGI diisi dengan karakter tertentu dengan tujuan untuk merusak sistem. Sebagai contoh, banyak search engine yang tidak melakukan proses “sanitasi” terhadap karakter yang dituliskan oleh user.






Keamanan client WWW

Keamanan di sisi client biasanya berhubungan dengan masalah privacy dan penyisipan virus atau trojan horse.

Pelanggaran Privacy

Ketika kita mengunjungi sebuah situs web, browser kita dapat dititipi sebuah “cookie” yang fungsinya adalah untuk menandai kita. Ketika kita berkunjung ke server itu kembali, maka server dapat mengetahui bahwa kita kembali dan server dapat memberikan setup sesuai dengan keinginan (preference) kita. Ini merupakan servis yang baik. Namun data-data yang sama juga dapat digunakan untuk melakukan tracking kemana saja kita pergi.

Ada juga situs web yang mengirimkan script (misal Javascript) yang melakukan interogasi terhadap server kita (melalui browser) dan mengirimkan informasi ini ke server. Bayangkan jika di dalam computer kita terdapat data-data yang bersifat rahasia dan informasi ini dikirimkan ke server milik orang lain.

Penyisipan Trojan Horse

Cara penyerangan terhadap client yang lain adalah dengan menyisipkan virus atau trojan horse. Bayangkan apabila yang anda download adalah virus atau trojan horse yang dapat menghapus isi harddisk anda. Salah satu contoh yang sudah terjadi adalah adanya web yang menyisipkan Trojan horse Back Orifice (BO) atau Netbus sehingga komputer anda dapat dikendalikan dari jarak jauh.