Sesi (session=summetric keys) adalah sebuah kunci yang dienkripsi yang di hasilkan secara acak untuk memastikan tingkat keamanan antara pengguna dengan sistem yang melayani (server) atau diantara 2 komputer yang sedang melakukan komunikasi data. Pada standar lapisan OSI, session terletak di lapisan ke-4
Karena begitu pentingnya kehadiran sesi inilah mengapa sesi juga merupakan salah satu incaran seorang penyusup yang ingin masuk secara tidak sah kedalam suatu situs.
Pada anatomi joomla, sesi ditempatkan khusus di sebuah direktori dan juga di suatu tabel basisdata. Di tabel mysql terdapat tabel #_session. Sistem server apache yang menjalankan sistem joomla secara default menuliskan session ini sesuai konfigurasi standar php (php.ini).
Celakanya pada server sharing, konfigurasi php.ini juga diterapkan pada semua account situs. Jadi kode sesi ini bercampur antara misalnya pemilik domain a.com dengan b.com. Lebih celaka lagi jika hak akses pengguna apache dari masing-masing adalah sama, yang umum digunakan adalah user apache (coba di cek di konfigurasi httpd.conf). Probabilitas penggunaan sesi dari doamin yang lain pada domain lain untuk disalah gunakan menjadi sangat tinggi.
Bagaimana memperkecil probabilitas ini?
Ada satu trik yang mudah dilakukan dan dapat menambah bobot level pengamanan dari situs joomla anda.
Tambahkan perintah dibawah berikut:
php_value session.save_path /path_local/session
ke dalam konfigurasi apache anda atau jika anda adalah admin hosting dengan hak akses terbatas, perintah ini dapat ditambahkan di file .htacces.
Silahkan ber-eksperimen, semoga berguna.
No comments:
Post a Comment