The Copenhagen Book: Panduan Umum untuk Menerapkan Autentikasi di Aplikasi Web

 (thecopenhagenbook.com)
7 poin oleh GN⁺ 2024-10-11 | 1 komentar | Bagikan ke WhatsApp

  • The Copenhagen Book

    • The Copenhagen Book adalah proyek open source gratis yang menyediakan panduan umum untuk menerapkan autentikasi di aplikasi web
    • Dipelihara oleh komunitas, dan meskipun terkadang bersifat subjektif atau tidak lengkap, proyek ini bertujuan mengisi kekosongan dalam sumber daya online
    • Disarankan untuk digunakan bersama OWASP Cheat Sheet Series

  • Token sisi server

    • Menjelaskan metode memperkuat keamanan dengan mengelola token di sisi server

  • Sesi

    • Menjelaskan cara mempertahankan status autentikasi yang berkelanjutan melalui pengelolaan sesi pengguna

  • Autentikasi kata sandi

    • Menyediakan panduan terkait metode autentikasi kata sandi yang aman

  • Autentikasi email

    • Menjelaskan prosedur autentikasi pengguna melalui email

  • Reset kata sandi

    • Menjelaskan cara mengimplementasikan fitur reset kata sandi

  • Pembuatan nilai acak

    • Menjelaskan cara menghasilkan nilai acak yang diperlukan untuk keamanan

  • OAuth

    • Menjelaskan cara menerapkan autentikasi menggunakan protokol OAuth

  • Autentikasi multi-faktor (MFA)

    • Menjelaskan cara memperkuat keamanan melalui MFA

  • WebAuthn

    • Menjelaskan cara menerapkan autentikasi web menggunakan WebAuthn

  • Pemalsuan permintaan lintas situs (CSRF)

    • Menjelaskan cara mencegah serangan CSRF

  • Open redirect

    • Menjelaskan cara mencegah kerentanan open redirect

  • Kriptografi

    • Menjelaskan cara melindungi data menggunakan teknik kriptografi

  • ECDSA

    • Menjelaskan cara menerapkan tanda tangan digital menggunakan algoritme ECDSA

  • Tautan

    • Menyediakan tautan ke repositori GitHub, Twitter, OWASP Cheat Sheet Series, dan tautan donasi

Ringkasan GN⁺

  • The Copenhagen Book adalah sumber daya yang berguna bagi pengembang karena menyediakan panduan komprehensif tentang penerapan autentikasi pada aplikasi web
  • Mencakup berbagai metode autentikasi dan teknik penguatan keamanan, sehingga membantu meningkatkan pemahaman tentang keamanan
  • Jika digunakan bersama OWASP Cheat Sheet Series, panduan ini menjadi lebih efektif dan dapat berkontribusi dalam mencegah kerentanan keamanan
  • Proyek dengan fungsi serupa mencakup berbagai pedoman OWASP dan rekomendasi keamanan dari NIST

Bacaan terkait

1 komentar

 
GN⁺ 2024-10-11
Komentar Hacker News

  • Penulis library Lucia merasa bahwa Lucia tidak lagi cocok untuk mengimplementasikan autentikasi, lalu merilis seri panduan sebagai penggantinya

    • Menyediakan pratinjau panduan awal, enak dibaca, dan sangat cocok dengan The Copenhagen Book

  • 90% sumber daya keamanan sulit dipahami oleh nonspesialis, tetapi panduan ini jelas, ringkas, dan bisa langsung diterapkan

    • Bagian tentang kurva eliptik masih sulit dipahami

  • Banyak saran keamanan terasa rumit dan kadang tidak masuk akal, tetapi panduan ini menawarkan saran yang segar dan mudah dipahami

    • Akan bagus jika ditambahkan bagian tentang JWT

  • Akan lebih baik jika diperjelas apakah "auth" berarti autentikasi (authn) atau otorisasi (authz)

    • Sepertinya yang dimaksud adalah autentikasi

  • Menarik bahwa disebutkan UUIDv4 memiliki banyak entropi, tetapi mungkin tidak aman secara kriptografis

    • Untuk sebagian besar aplikasi ini bukan masalah, tetapi tetap perlu disadari

  • Kata sandi harus minimal 8 karakter, dan perlu menggunakan library seperti zxcvbn untuk memeriksa kata sandi yang lemah

    • Ini bagus untuk situs dengan keamanan tinggi, tetapi membuat kata sandi panjang untuk akun sekali pakai itu merepotkan

  • Ada yang tahu alasan nama "Copenhagen Book"?

  • Jika autentikasi diimplementasikan sekali, itu bisa digunakan di mana saja

  • Akan menyenangkan jika situs web menyediakan opsi agar "sesi tidak kedaluwarsa sampai logout"

    • Kedaluwarsa sesi dan 2FA GitHub terasa merepotkan, jadi beralih ke Gitea
    • Jika model keamanannya tidak fleksibel, pelanggan bisa hilang

  • Panduan yang luar biasa, terima kasih