Mengenal Fitur Keamanan HSTS pada Google Chrome

Google Chrome merupakan browser terfavorit dan terpopuler di dunia untuk saat ini. Aplikasi yang sangat ringan, multiplatform serta kemampuan yang terintegrasi dengan akun Google menjadikannya sebagai browser yang sangat praktis untuk digunakan. Sedangkan untuk para web developer, Google Chrome juga memberikan kemudahan dengan adanya fitur developer tools yang sangat membantu dalam proses pengembangan web seperti fitur inspect element, network, console dan lain-lain. Namun tahukah Anda bahwa Google Chrome memiliki fitur keamanan bawaan? Ayo mengenal fitur keamanan HSTS pada Google Chrome.

HSTS pada Web Development

HSTS membuat situs Anda berjalan di protokol HTTPS meskipun Anda menggunakan protokol HTTP. Hal ini sangatlah berguna untuk meningkatkan kemanan situs Anda dari kebocoran informasi, seperti username/password atau informasi penting lainnya seperti data kartu kredit bila anda memiliki website yang memiliki metode pembayaran online. Namun HSTS berlaku jika web Anda sudah mengaktifkan protokol HTTPS dengan menanamkan sertifikat SSL di dalamnya. Lalu bagaimana dengan web developer yang mengembangkan situsnya di localhost ? Jika Anda seorang web developer dan sedang mengembangkan suatu web maka HSTS merupakan salah satu hal yang perlu Anda ketahui.

HSTS tidak perlu digunakan pada saat pengembangan situs dikarenakan jika kita tidak mempersiapkan protokol HTTPS, maka yang terjadi ketika kita melakukan tes pada Google Chrome akan muncul pesan error 404, yakni halaman tidak ditemukan. Disisi lain HSTS penting jika kita mempertimbangkan aspek keamanan pada situs. Dengan mengaktifkan HSTS maka secara otomatis setiap request halaman yang diminta akan diarahkan untuk menggunakan protokol HTTPS meskipun situs masih membuka protokol HTTP.

Permasalahan dengan HSTS sering muncul ketika kita melakukan kloning dari repository proyek yang sedang berjalan, dimana ada kemungkinan file konfigurasi akan ikut serta selama file tersebut tidak diabaikan pada file gitignore. Untuk mengatasi hal ini, kita perlu mengetahui apakah file konfigurasi tersebut digunakan untuk environment live atau development. Jika live, maka kemungkinan konfigurasi tersebut sudah mengimplementasi semua aspek optimisasi dan tentunya aspek keamanan.

Menon-aktifkan HSTS

Terdapat beberapa kasus yang terjadi ketika kita berhadapan dengan HSTS khususnya pada fase pengembangan dimana kita ingin situs berjalan normal dengan protokol HTTP tanpa ada redirect ke protokol HTTPS.

  1. Non preloaded entries, Pada kasus ini HSTS dapat kita non aktifkan melalui halaman `chrome://net-internals/#hsts`. Pada halaman tersebut pada bagian `Query HSTS/PKP domain` terdapat kolom domain yang dapat diisi. Isilah kolom tersebut dengan nama domain localhost atau vhost anda misalnya localhost setelah itu tekan tombol query. Jika datanya muncul  maka HSTS pada web yang terdapat di domain tersebut sedang aktif. Untuk menon-aktifkan nya dapat dilakukan pada bagian `Delete domain security policies` yang terdapat pada bagian bawah halaman `chrome://net-internals/#hsts` dengan memasukkan nama domain atau vhost Anda di kolom domain dan klik tombol delete. Jika berhasil maka ketika kita lakukan query domain kembali maka hasil data HSTS nya akan tidak tampil. Namun jika data HSTS masih muncul maka web anda sudah di setting untuk mengaktifkan HSTS secara permanen. Cara untuk menon-aktifkan HSTS secara permanen dapat dilihat pada langkah selanjutnya.
  2. Preloaded entries, Pada kasus ini HSTS dapat di non-aktifkan dengan melakukan konfigurasi pada sisi aplikasi web. Sebagai contoh pada aplikasi web yang dibangun dengan menggunakan PHP, konfigurasi tersebut terdapat pada file .htaccess yang terdapat di dalam direktori project Anda. Namun terdapat kasus dimana konfigurasi HSTS dilakukan pada sisi konfigurasi framework yang anda gunakan. Sebagai contoh untuk HSTS pada file .htaccess, kita dapat tinjau file tersebut dengan mencari baris kode seperti berikut:
    Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

    Untuk menon-aktifkan HSTS Anda dapat menghapus kode tersebut melalui text editor kesayangan anda. Untuk contoh lain pada sisi framework, misalnya pada framework CakePHP konfigurasi tersebut dapat Anda temukan pada file `app/Config/core.php`. Pada file core.php kita dapat menemukan bagian yang dapat melakukan konfigurasi file .htaccess secara dinamis. Pada bagian tersebut kita dapat menemukan baris kode seperti berikut:

    Configure::write('App.fullBaseUrl', 'https://myapp.local');

    Dari kode tersebut bisa kita lihat bahwa situs di set untuk menggunakan protokol HTTPS. Dengan demikian kita dapat menon-aktifkan HSTS dengan 2 cara yaitu menghapus baris kode tersebut atau merubah HTTPS menjadi HTTP.

2 thoughts on “Mengenal Fitur Keamanan HSTS pada Google Chrome

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Related Posts