Review Paper : Session Juggler
-
Upload
irien-kamaratih -
Category
Documents
-
view
34 -
download
4
Transcript of Review Paper : Session Juggler
![Page 1: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/1.jpg)
Session Juggler :Secure Web Login From an Untrusted
Terminal Using Session Hijacking
Irien Kamaratih A, Nella Indriani, Rizkiyani Harminingtyas3KS1
![Page 2: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/2.jpg)
Latar Belakang
Let’s Juggling
![Page 3: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/3.jpg)
![Page 4: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/4.jpg)
![Page 5: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/5.jpg)
Looking for Something ?
![Page 6: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/6.jpg)
![Page 7: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/7.jpg)
![Page 8: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/8.jpg)
Teknologi/Istilah Penting
Let’s Juggling
![Page 9: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/9.jpg)
• Session : sebuah varibel sementara yang diletakkan di server
• Session Hijacking : metode mengambil alih session dari pengguna Web secara diam-diam untuk mendapatkan session ID dan menyamar sebagai user terdaftar
• Bookmarklet : sebuah aplikasi kecil yang dapat diletakkan pada browser.
• QR code : bentuk evolusi code button dari satu dimensi ke dua dimensi
• Blackboard : sebuah web service yang memfasilitasi pertukaran informasi di antara telepon dan terminal
![Page 10: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/10.jpg)
• AES (Advance Encryption Standard) key : algoritma kriptografi simetrik untuk mengamankan data. Menggunakan kunci kriptografi 128, 192 dan 256bits untuk dekrip dan enkrip data pada blok 128bits
• Long term credential : satu set user authentication(username+password) yang dipakai oleh protokol client unutk diautentikasi(dicocokkan) dengan protocol server
• Android Webview : Tampilan yang memungkinkan kita untuk meng-embed halaman web ke layout di android
![Page 11: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/11.jpg)
Permasalahan Riset
Let’s Juggling
![Page 12: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/12.jpg)
• Bagaimana cara melindungi credential user dari serangan malware dan menyelamatkan user dari session hijack??
![Page 13: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/13.jpg)
Kontribusi Riset
Let’s Juggling
![Page 14: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/14.jpg)
• Pembuatan sebuah arsitektur yang disebut Session Juggler (http://sessionjuggler.net) yang memungkinkan user untuk login tanpa pernah memasukkan long term credential mereka pada terminal dengan bantuan Android app pada smartphone.
• Session Juggler dapat membantu user lepas dari serangan session hijacking dengan menyediakan secure logout dimana phone dan untrusted terminal berbagi session data yg sama sehingga malware tidak dapat mencegah user logout dari phone app.
![Page 15: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/15.jpg)
Three Main Studies About Session Management
![Page 16: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/16.jpg)
1. Secure Login Pages
Did LinkedIn use https???
![Page 17: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/17.jpg)
Is that amazing??
![Page 18: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/18.jpg)
2. Binding Session to Devices• Survey seberapa banyak web yang mengikat
atau menjaga sessionnya dari hijacking
![Page 19: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/19.jpg)
3. Logout Procedures• Ketika logout, seharusnya session dihapus dari
devices agar transaksi user tidak dilanjutkan oleh orang lain
• Menurut survey, web terkenal menghapus session dari browser,tapi tidak di server.
• Google menerapkan security logout pada main site (Gmail&Reader) tapi tidak pada side services (Youtube,Blogger dll)
![Page 20: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/20.jpg)
![Page 21: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/21.jpg)
• Beberapa company mengabaikan masalah ini karena jarang ada serangan terhadap hal ini dan membutuhkan biaya besar utk penggantian session management
![Page 22: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/22.jpg)
Metode Pemecahan Masalah
Let’s Juggling
![Page 23: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/23.jpg)
Storyboard of The User Experience with Session Juggler
![Page 24: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/24.jpg)
QR Mode Message Flow
![Page 25: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/25.jpg)
Pin-code Message Flow
![Page 26: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/26.jpg)
Membatasi efektivitas dari malware, dengan memperbolehkannya hanya menangkap short-lived session credential, bukan long term.
Mengurangi resiko sniffing pada insecure network.
Session Juggler memiliki tiga phising defenses (user consent popup, domain blacklist check, dan password manager hanya memberitahukan password untuk URL yg benar)
Menyediakan trusted logout yang dapat membatalkan validasi dari ongoing session
Why Session Juggler improves logging security ?
![Page 27: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/27.jpg)
Evaluasi
Let’s Juggling
![Page 28: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/28.jpg)
![Page 29: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/29.jpg)
Session Juggler dapat berhasil digunakan untuk login pada 87% dari Top-100 situs Alexa. Selain itu juga memiliki keberhasilan 100% saat menggunakan Session Juggler untuk login di website yang menggunakan Facebook connect. Secara manual jika kita mampu menggunakan Session Juggler dan Firefox untuk login di 64 Top-100 situs yang memiliki Alexa login sistem.
![Page 30: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/30.jpg)
Kasus kegagalan Session Juggler (msn.com, megaupload.com dan rapidshare.com) : Dealing with Mobile Session Separation
Smartphone atau web browser biasa? Finding Webview Limitations
- WebView Android tidak mampu untuk membuat versi penuh msn.com dan rapidshare.com- megaupload.com secara otomatis akan diarahkan ke website versi mobile, sehingga mencegah adanya transfer session
![Page 31: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/31.jpg)
Handling Secure CookiesVersi pertama dari aplikasi Android :
Cookie diekstrak dari Web View langsung menggunakan interface Cookie Manager >> gagal
Versi sekarang : cookie diambil langsung dari cookie repositori melalui interface Sqlite
![Page 32: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/32.jpg)
The Third Party Login Challenge (Tantangan login sebagai pihak ketiga)
>> harus memasukkan identitas dua kali : pada domain dan pihak ketiga domain
![Page 33: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/33.jpg)
Ide Pengembangan Riset
Let’s Juggling
![Page 34: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/34.jpg)
- SJ dibuat dapat menyimpan long-term pairing sehingga apabila ingin login tidak perlu inisialisasi session juggler (nb: ada expired date) dengan catatan browser dan terminal yg digunakan sama
- Memodifikasi SJ agar bisa menghilangkan expired date dari cookies
- SJ dapat “menipu” browse fingerprinting
![Page 35: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/35.jpg)
Kesimpulan
Let’s Juggling
![Page 36: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/36.jpg)
• Session Juggler adalah solusi universal pertama untuk login web secara aman di Unstrusted terminal.
• Session Juggler bersifat universal karena tidak memerlukan site-modification dan tidak memerlukan software tertentu pada terminal-side
• Berdasarkan evaluasi menunjukkan bahwa Session Juggler bekerja dengan setiap Alexa Top 100 website kecuali delapan.
![Page 37: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/37.jpg)
• Session jugler bekerja sempurna pada website yang mempunyai Facebook connect, yang memungkinkan pengguna untuk menggunakannya pada lebih dari 85000 website.
• Session juggler adalah solusi pertama yang menyediakan mekanisme yang terpercaya untuk logout dan memastikan bahwa session pengguna akan dihapus segera setelah pengguna selesai menggunakan website
![Page 38: Review Paper : Session Juggler](https://reader035.fdocuments.net/reader035/viewer/2022062513/557202844979599169a3ab41/html5/thumbnails/38.jpg)