Penelitian yang dipimpin oleh Australia telah menemukan setengah dari situs web paling populer di dunia rentan terhadap aktivitas jahat, memperlihatkan kelemahan mendasar di web.
Analisis terhadap 200.000 situs web teratas dunia oleh akademisi dari CSIRO, AS, dan Inggris menunjukkan setengah dari semua situs web mengizinkan penyedia iklan dan sejenisnya untuk mengunduh konten dari pihak ketiga tanpa izin tertulis dari situs web tersebut.
Profesor Dali Kaafar membandingkan ancaman dengan krisis infestasi cacing jarum stroberi di Australia pada akhir 2018, ketika sulit untuk mengidentifikasi pihak mana yang telah menginfeksi stroberi dan pada tingkat rantai pasokan makanan apa.
Tonton berita terbaru di Channel 7 atau streaming gratis 7 ditambah >>
“Demikian pula, kami memiliki rantai pasokan konten web dan sangat sulit menemukan cara untuk mengaktifkan kepercayaan eksplisit di seluruh rantai,” kata Prof Kafaar, peneliti privasi utama di kelompok penelitian data CSIRO, Data61, kepada AAP.
Rantai pihak ketiga – seperti layanan periklanan, Google Analytics, dan kode JavaScript – yang dimuat di situs web dalam beberapa kasus dapat mencakup 30 pihak.
Hanya 1,2 persen dari pihak ketiga yang dinilai berpotensi berbahaya oleh para peneliti, tetapi mereka dimuat di 73 persen situs web yang dianalisis.
Prof Kaafar mengatakan bahwa rantai kepercayaan implisit ini pada akhirnya bisa berakhir dengan orang-orang mengunduh konten dari tingkat 29 di bawah rantai “yang belum pernah Anda dengar dan jelas tidak pernah Anda lihat”.
“Rantai itu menimbulkan ancaman keamanan yang sangat besar karena kepercayaan implisit ini.”
Untuk mengilustrasikan seberapa besar masalahnya, Prof Kaafar menunjuk ke Google Analytics, yang dibangun di jutaan situs web, tanpa sadar memuat distributor adware dan spyware selama beberapa hari di tahun 2018.
“Anda dapat menyebarkan aktivitas jahat yang cukup berat dan cepat jika ada pemain besar yang duduk di tengah rantai dan tidak menyadari ada masalah yang sedang terjadi,” katanya.
“Dari perspektif desain, ada kelemahan mendasar dalam cara menangani pengaturan keamanan dan privasi. Kami benar-benar tidak memiliki visibilitas tentang bagaimana konten diakses dan bagaimana konten itu dimuat.”
Prof Kaafar menyarankan pengguna untuk berhenti mempercayai situs web secara membabi buta dan mulai menggunakan add-on browser yang menghentikan skrip, memblokir iklan, dan menerapkan HTTPS – versi aman dari protokol dasar web – di mana saja.
Penelitian yang dipimpin oleh Australia akan dipresentasikan kepada pemain kunci dalam pengembangan web di masa mendatang di The Web Conference di San Francisco.
