View
33
Download
4
Category
Tags:
Preview:
Citation preview
Session Juggler :Secure Web Login From an Untrusted
Terminal Using Session Hijacking
Irien Kamaratih A, Nella Indriani, Rizkiyani Harminingtyas3KS1
Latar Belakang
Let’s Juggling
Looking for Something ?
Teknologi/Istilah Penting
Let’s Juggling
• Session : sebuah varibel sementara yang diletakkan di server
• Session Hijacking : metode mengambil alih session dari pengguna Web secara diam-diam untuk mendapatkan session ID dan menyamar sebagai user terdaftar
• Bookmarklet : sebuah aplikasi kecil yang dapat diletakkan pada browser.
• QR code : bentuk evolusi code button dari satu dimensi ke dua dimensi
• Blackboard : sebuah web service yang memfasilitasi pertukaran informasi di antara telepon dan terminal
• AES (Advance Encryption Standard) key : algoritma kriptografi simetrik untuk mengamankan data. Menggunakan kunci kriptografi 128, 192 dan 256bits untuk dekrip dan enkrip data pada blok 128bits
• Long term credential : satu set user authentication(username+password) yang dipakai oleh protokol client unutk diautentikasi(dicocokkan) dengan protocol server
• Android Webview : Tampilan yang memungkinkan kita untuk meng-embed halaman web ke layout di android
Permasalahan Riset
Let’s Juggling
• Bagaimana cara melindungi credential user dari serangan malware dan menyelamatkan user dari session hijack??
Kontribusi Riset
Let’s Juggling
• Pembuatan sebuah arsitektur yang disebut Session Juggler (http://sessionjuggler.net) yang memungkinkan user untuk login tanpa pernah memasukkan long term credential mereka pada terminal dengan bantuan Android app pada smartphone.
• Session Juggler dapat membantu user lepas dari serangan session hijacking dengan menyediakan secure logout dimana phone dan untrusted terminal berbagi session data yg sama sehingga malware tidak dapat mencegah user logout dari phone app.
Three Main Studies About Session Management
1. Secure Login Pages
Did LinkedIn use https???
Is that amazing??
2. Binding Session to Devices• Survey seberapa banyak web yang mengikat
atau menjaga sessionnya dari hijacking
3. Logout Procedures• Ketika logout, seharusnya session dihapus dari
devices agar transaksi user tidak dilanjutkan oleh orang lain
• Menurut survey, web terkenal menghapus session dari browser,tapi tidak di server.
• Google menerapkan security logout pada main site (Gmail&Reader) tapi tidak pada side services (Youtube,Blogger dll)
• Beberapa company mengabaikan masalah ini karena jarang ada serangan terhadap hal ini dan membutuhkan biaya besar utk penggantian session management
Metode Pemecahan Masalah
Let’s Juggling
Storyboard of The User Experience with Session Juggler
QR Mode Message Flow
Pin-code Message Flow
Membatasi efektivitas dari malware, dengan memperbolehkannya hanya menangkap short-lived session credential, bukan long term.
Mengurangi resiko sniffing pada insecure network.
Session Juggler memiliki tiga phising defenses (user consent popup, domain blacklist check, dan password manager hanya memberitahukan password untuk URL yg benar)
Menyediakan trusted logout yang dapat membatalkan validasi dari ongoing session
Why Session Juggler improves logging security ?
Evaluasi
Let’s Juggling
Session Juggler dapat berhasil digunakan untuk login pada 87% dari Top-100 situs Alexa. Selain itu juga memiliki keberhasilan 100% saat menggunakan Session Juggler untuk login di website yang menggunakan Facebook connect. Secara manual jika kita mampu menggunakan Session Juggler dan Firefox untuk login di 64 Top-100 situs yang memiliki Alexa login sistem.
Kasus kegagalan Session Juggler (msn.com, megaupload.com dan rapidshare.com) : Dealing with Mobile Session Separation
Smartphone atau web browser biasa? Finding Webview Limitations
- WebView Android tidak mampu untuk membuat versi penuh msn.com dan rapidshare.com- megaupload.com secara otomatis akan diarahkan ke website versi mobile, sehingga mencegah adanya transfer session
Handling Secure CookiesVersi pertama dari aplikasi Android :
Cookie diekstrak dari Web View langsung menggunakan interface Cookie Manager >> gagal
Versi sekarang : cookie diambil langsung dari cookie repositori melalui interface Sqlite
The Third Party Login Challenge (Tantangan login sebagai pihak ketiga)
>> harus memasukkan identitas dua kali : pada domain dan pihak ketiga domain
Ide Pengembangan Riset
Let’s Juggling
- SJ dibuat dapat menyimpan long-term pairing sehingga apabila ingin login tidak perlu inisialisasi session juggler (nb: ada expired date) dengan catatan browser dan terminal yg digunakan sama
- Memodifikasi SJ agar bisa menghilangkan expired date dari cookies
- SJ dapat “menipu” browse fingerprinting
Kesimpulan
Let’s Juggling
• Session Juggler adalah solusi universal pertama untuk login web secara aman di Unstrusted terminal.
• Session Juggler bersifat universal karena tidak memerlukan site-modification dan tidak memerlukan software tertentu pada terminal-side
• Berdasarkan evaluasi menunjukkan bahwa Session Juggler bekerja dengan setiap Alexa Top 100 website kecuali delapan.
• Session jugler bekerja sempurna pada website yang mempunyai Facebook connect, yang memungkinkan pengguna untuk menggunakannya pada lebih dari 85000 website.
• Session juggler adalah solusi pertama yang menyediakan mekanisme yang terpercaya untuk logout dan memastikan bahwa session pengguna akan dihapus segera setelah pengguna selesai menggunakan website
Recommended