halo semua, mau sedikit nanya buat para suhu dan ngerti sama perihal security. saya punya temen yan ngelola website besar dan trafficnya tinggi dan mereka suka cerita kalau websitenya sering kena serangan dari para bot2. sebagaian besar memang sukses diatasi, tapi beberapa kali juga pernah gagal. berhubung saya punya website yang lebih kecil dan gak begitu ramai, apa saya harus waspada akan hal ini juga?
sampai sekarang saya gak begitu peduli sama jenis traffic yang dateng ke website. mungkin karena memang website saya memang dibangun kecil2an sebagai proyek sampingan, dan traffic yang seandainya dateng dari bot juga gak sampai bikin masalah. (sepertinya sih begitu).
yang mau saya tanya, bagaimana cara tahunya kalo ada bot yang mau nyerang website? bagaimana cara efektif buat mencegah bot2 itu berhasil menyusup masuk? mohon petunjuknya. trims
cara hack itu banyak. intinya dari hampir semua tekniknya adalah buat cari login username dan password. cara lain adalah man-in-the-middle.
teknik lain juga seperti sql injection atau xss, dll.
dan bot juga banyak niat aneh. ada yang memang buat flooding ada juga memang buat ngambil link atau bisa juga cari celah. bot gak bisa dicegah masuk ke website karena dia itungannya traffic sama seperti visitor. cara ngamanin dari bot biasanya pake captcha.
misalnya di halaman login, atau kalo orang bisa posting di website tanpa login. form2 dan tempat2 lain yang masukin data, terutama yang bakal ngubah database.
cara lain jg banyak.
numpang nanya. bot sama visitor manusia sama2 kehitung 1 ya? cara tahu siapa bot dan siapa yang manusia dari mana ya?
bot bisa dicegah masuk ke tempat2 tertentu di website dengan cara pake captcha. ngebedainnya bisa dari ip
amanin halaman login. buat aman, misalnya buat blog, jangan biarin orang komen sebelum login... atau gak pake plugin google atau facebook biar lebih aman.
bisa dibilang banyak dari traffic datengnya dari bot. jadi jangan heran kalo traffic gede itu bukan semuanya manusia. ambil aja perbandingannya 60:40 buat website biasa, dan 40:60 buat website yang rada gedean. ini dengan asumsi halaman utamanya langsung halaman login seperti facebook - twitter.
untuk website kecil traffic bot belum seberapa jadi gak perlu khawatir. buat tau aktifitas user (manusia dan bot) sering2 liat log. dari sana bisa ketauan celah2 yang gak aman.
bot sama manusia sama2 visitor. masing2 kehitung 1.
nyusup masuk itu maksudnya bot gak boleh berkunjung atau bot supaya gak cari celah buat ngerusak?
kalo bisa sih mencegah bot2 tertentu yang memang ngerusak untuk akses website. dan juga mencegah bot2 buat mencari kelemahan website. bisa gak?
setau saya bot itu kerjanya saka kayak manusia. jadi apa yang bot bisa lakuin manusia juga bisa. semua kecuali captcha atau kuis2 dan baca isi yang bentuknya gambar.
jadi klik, ketik, kopas, dll dia bisa.
kalo saya bener, mencegah bot nyari kelemahan sama aja bikin website aman dari manusia.
cari IPnya terus block :)
mungkin dengan tau ip si bot terus di block?
jangan lupa juga pake HTTPS
HTTPS bisa block bot?
bot2 jahat gak patuh sama robots.txt. tapi bisa aja di block pake IP, walaupun sering juga bisa lolos karena dia bisa aja pake IP berbeda, ngerjain banyak IP secara manual itu kerjaan.
ada solusinya: pake "bot trap". cara ini ngebuat bot2 jahat yang gak patuh sama robots.txt bakal terperangkap. istilahnya gitu.
perangkap ini kerjanya dengan cara otomatis ngeblock IP si bot. jadi di file robots.txt, ada perintah yang bilang "jangan masuk ke ...". bot yang gak patuh sama perintah robots.txt akan ngescan file itu seperti dia diijinin. karena dia melanggar perintah tadi, dan masuk ke tempat yang dia dilarang, dia otomatis masuk ke bot trap.
sekalinya dia masuk, IPnya akan di simpan, dan kalau dia mau masuk lagi, gak bakal diijinin.
baru denger nih. thx bos :)
terus kalau botnya banyak, itu list bakal numpuk dong ya? satu bot belum tentu ip-nya satu kan?
nice info pak ramli +1
bot itu baru setengah dari sumber masalah. gak semua hacker pake bot untuk nyari celah buat ngehack. dan ngamanin website dari bot itu bukan solusi sih. yang harus lebih diperhatiin itu lobang2 hacker bisa masuk. misalnya bikin user administratornya susah ditembus, atau selalu update software2 yang dipake di website. pake https seperti pak agung bilang dan masih banyak lagi.
setuju. bot memang masalah dan bisa ngebongkar keamanan website. tapi lebih baik ngeliat pengamanan website secara global, bukan fokus ke bot.
bot punya nama. bisa liat di log. ada ip-nya juga. perangkap bot kayaknya menarik juga :) tapi ngurangin visitor dong. hehee... wqlaupun yang dateng bot, ngeliat traffic tinggi kan enak :)
bot cuma visitor semu. kalo bot bagus sih gpp. tapi bot jelek, atau bot yang kerjaannya buat scrapping ngapain juga diijinin masuk ngeberat2in server doang.
http://www.eyerys.com/articles/relentless-social-bots-command-social-internet-conquering-flow[/embed]
kalo bot ada dimana2, facebook, youtube, google dll punya user gak sebanyak yang mereka kira dong??
benar banget. kalo mereka jujur, bisa2 namanya jadi jelek.
http://www.eyerys.com/id/forum/techtalk/424/banyak-bot-traffic-dan-user-sosial-media-gak-jelas-berapa-jumlahnya[/embed]
perasaan pertama kenal bot dari game deh... hehe
pengalaman maen curang bos? hahaha *peace
bisa jadi sebelum penawaran umum saham perdananya facebook gak terbuka atau blak2an. demi ngejaga harga diri dan harga sahamnya.
buat layanan web seperti google dan facebook, produk mereka adalah user. user adalah produk yang dijual ke advertisers. layanan mereka cuma cara buat dapetin user.
karena user itu produk, makanya NSA sama pemerintah amerika suka minta info orang sama perusahaan internet.
facebook sama google tau lebih banyak data orang dibanding pemerintah amerika sendiri :)
user adalah produk. makanya layanan mereka gratisan :) kalo ada pungutan biaya buat user, user bukan produk yang dijual ke advertisers.
yang dijual itu data diri dan privasi.
data diri dijual. tapi privasi gak. adanya ntar malah dituntut;
garis pemisah antara data diri dan privasi suka gak jelas kadang. di internet, kebanyakan orang gak kenal satu sama lainnya, dan data diri itu informasi satu2nya yang ngejelasin siapa itu orang. tapi informasi itu, kalau rada sensitif, baru bisa dibilang privasi. cuma aja buat beberapa orang, nama asli aja gak mau diungkapin, ini termasuk privasi dia dong?
gak ada pemisah yang bener2 ngejelasin privasi itu apa. privasi beda dari satu orang ke orang yang lain, dan karena itu gak bisa satu peraturan membawahi semua kebijakan.
persepsi agak salah. user memang produk tapi bukan produk dalam arti sesuatu yang mereka bikin.
mereka harus terlebih dulu punya 'produk' sebelum punya user. berhubung 'produk' ini gratisan, cara paling masuk akal buat dapet uang ya user yang jadi aset.
Kebalik bos kayaknya. User itu produk, apa yang mereka bikin yang jadi aset.
kenapa itu bot gal dihapus2in ya? mereka pasti tahu dong mana user bot sama mana yang user beneran.
susah. bot makin pinter aekarang. captcha yang cuma klik I'm not a robot aja masih suka salah.
captchanya google yang baru belum pinter2 amat. selalu nganggep ane bot :(
mencurigakan soalnya ente bos. hehe.
captcha i'm not a robot kan belum lama jadi masih proses prngembangan. niatnya supaya mempermudah manusia tapi menggagalkan bot, tapi bot makin lama juga makin pinter.
katanya captcha I'm not a robot ngebaca posisi cursor, refleks orang klik, pola jalannya cursor, dll. berhubung tiap orang polanya beda, masih belum ngerti2 amat kali :)
Masih mending captcha dia dulu. Belum banyak yang make juga.
nyusahin captcha. kadang udah ngisi panjang2. eh pas isi captcha salah, pagenya refresh :(
kadang bener juga refresh. yang captcha google yang baru juga masih suka begitu.
mau nanya kalau mau amanin lewat htaccess. bisa dan ampuh?
bisa juga... tapi dia harus ada di root folder yang dimaksud. kalo ada di folder lain, htaccess harus dibuat lagi dan satu kayaknya gak bisa.
sorry baru online lagi. setahun hehee.. thx
Captcha suruh nyari kembang kol. Gimana caranya tau gambarnya burem semua gitu... Sekalinya bener gak bisa. Nyari papan nama jalan sama aja susah. Bukannya gampangin captcha buat manusia malah bikin makin susah :(
Captcha no captcha.