Tizen sebagai sebuah sistem operasi terbuka, memungkinkan untuk dapat dikembangkan sehingga memiliki berbagai fitur yang lebih kaya dan variatif. Dengan peningkatan pengalaman pengguna tersebut, maka pengguna harus dapat mengontrol sejauh mana data yang dapat diakses oleh suatu aplikasi, terutama terkait privasi dan data-data sensitif pengguna. Itulah maksud dari istilah keamanan yang digunakan dalam konteks pengembangan aplikasi Tizen.

Contoh sederhana adalah akses aplikasi terhadap data pengguna seperti data pesan SMS. Walau bagaimanapun data SMS yang ada di dalam inbox pengguna adalah bagian dari privasi pengguna yang tidak boleh diakses sembarangan tanpa seizin pengguna. Di sisi lain, sistem operasi Tizen menyediakan API yang memungkinkan pengembang aplikasi untuk dapat membaca dan menulis data pesan SMS yang ada di dalam inbox pengguna. Apabila API ini dapat digunakan begitu saja tanpa pemberitahuan kepada pengguna, maka peluang penyalahgunaan aplikasi atas data-data pengguna akan sangat besar, seperti misalnya penyadapan pesan SMS.

Selain itu, kemanan pada aplikasi Tizen juga mencakup perihal akses data dari dan ke sumber eksternal seperti website atau server API. Pada artikel ini akan dijelaskan poin-poin penting terkait keamanan dalam pengembangan aplikasi Tizen khususnya aplikasi mobile web.
<h3>API Privileges</h3>
Tizen menyediakan sejumlah API untuk melakukan serangkaian operasi tertentu dan mengakses sejumlah fitur dan data, yang bila tidak digunakan dengan semestinya, dapat mengganggu privasi pengguna dan stabilitas sistem. Oleh karena itu, aplikasi yang menggunakan API yang sensitif harus mendeklarasikan terlebih dahulu sejumlah hak penggunaan/akses (privileges) pada file config.xml.

<img class="alignnone size-large wp-image-12786" src="https://wordpress.codepolitan.com/wp-content/uploads/2016/09/1-1-700x413.png" alt="1" width="700" height="413" />

Ketika suatu aplikasi mengajukan penggunaan suatu API yang membutuhkan hak akses khusus, sistem Tizen akan mengecek terlebih dahulu apakah hak akses untuk API tersebut sudah didaftarkan di dalam file config.xml. Apabila hak akses belum dideklarasikan, maka sistem Tizen akan menahan aplikasi untuk menjalankan API tersebut.

Adapun daftar dari API beserta privilege yang harus dideklarasikan untuk mendapatan hak akses khusus API tersebut dapat dilihat pada tabel di halaman <a href="https://developer.tizen.org/development/getting-started/web-application/understanding-tizen-programming/security-and-api-privileges">https://developer.tizen.org/development/getting-started/web-application/understanding-tizen-programming/security-and-api-privileges</a>.
<h3>Cross Origin Resource Sharing</h3>
Cross-Origin Resource Sharing atau disingkat CORS adalah suatu mekanisme yang membolehkan suatu resource untuk dapat diakses dari suatu halaman web dengan domain tertentu di luar domain dari resource tersebut. Suatu halaman web dapat menyisipkan (embed) suatu resource/konten seperti gambar, video, script, dan iframe dari domain lain. Akan tetapi beberapa resource seperti embedded webfont dan rekues AJAX (XMLHttpRequest) hanya dapat diakses dari domain yang sama dari halaman induknya, berdasarkan ketentuan Same-origin policy. Same-origin policy membatasi bagaimana sebuah dokumen atau script yang dimuat dari suatu origin dapat berinteraksi dengan resource dari origin lain. Ini adalah bagian dari mekanisme pengamanan untuk menghindarkan dari dokumen yang berpotensi merusak.

Dua origin dikatakan yang sama ketika mereka memiliki protocol, port, dan host yang sama. Sebagai contoh misalkan kita punya sebuah halaman web di domain <a href="http://www.domain.com/index.html">http://www.domain.com/index.html</a>. Halaman tersebut hanya dapat mengakses rekues AJAX ke URL lain yang memiliki port, protokol dan host yang sama. Perhatikan tabel contoh URL berikut:
<table class="table table-condensed table-bordered">
<tbody>
<tr>
<td width="293"><strong>URL</strong></td>
<td width="144"><strong>Hasil rekues</strong></td>
<td width="187"><strong>Alasan</strong></td>
</tr>
<tr>
<td width="293">http://www.domain.com/ajax.html</td>
<td width="144">Sukses</td>
<td width="187"></td>
</tr>
<tr>
<td width="293">https://www.domain.com/ajax.html</td>
<td width="144">Gagal</td>
<td width="187">Berbeda protokol</td>
</tr>
<tr>
<td width="293">http://www.domain.com:8080/ajax.html</td>
<td width="144">Gagal</td>
<td width="187">Berbeda port</td>
</tr>
<tr>
<td width="293">http://api.domain.com/ajax.html</td>
<td width="144">Gagal</td>
<td width="187">Berbeda host</td>
</tr>
</tbody>
</table>
Pada aplikasi Tizen, domain originnya adalah <a href="https://localhost:8080/">https://localhost:8080</a>. Hal ini tentunya membuat aplikasi kita tidak dapat melakukan rekues AJAX ke server luar yang mana memiliki domain yang berbeda dengan aplikasi. Oleh karena itulah diperlukan proses cross-origin request (COR) terlebih dahulu. Tizen sudah mendukung mekanisme cross-origin resource sharing (CORS) yang berfungsi mengaktifkan client-side cross-origin request.

CORS mendukung dua tipe rekues: simple dan preflight.
<h4>Simple Request</h4>
Sebuah rekues dikatakan simple request bila memenuhi semua kondisi berikut:
<ul>
 	<li>HTTP method hanya menggunakan GET, POST dan HEAD</li>
 	<li>Tidak ada custom header yang diperbolehkan</li>
 	<li>Content-type memenuhi salahsatu opsi berikut:
<ul>
 	<li><code>application/x-www-form-urlencoded</code></li>
 	<li><code>multipart/form-data</code></li>
 	<li><code>text/plain</code></li>
</ul>
</li>
</ul>
Ketika menggunakan simple request, respon dari server harus diset dengan menggunakan response header:
<ul>
 	<li><code>Access-Control-Allow-Origin</code> (wajib)</li>
 	<li><code>Access-Control-Allow-Credentials</code> (opsional)</li>
 	<li><code>Access-Control-Expose-Headers</code> (opsional)</li>
</ul>
<img class="alignnone size-large wp-image-12787" src="https://wordpress.codepolitan.com/wp-content/uploads/2016/09/2-1-700x211.png" alt="2" width="700" height="211" />

Berikut adalah contoh teknis dari implementasi simple request:
<ol>
 	<li>Buat rekues XML HTTP dari aplikasi clien, dalam hal ini aplikasi mobile web Tizen, menggunakan kode JavaScript untuk merekues AJAX:
<pre>&lt;script&gt;
<strong>var</strong> method = "GET";
<strong>var</strong> url = "http://another-domain.com/CORS/";
<strong>var</strong> xhr = <strong>new</strong> XMLHttpRequest();
xhr.open(method, url);
xhr.send();
&lt;/script&gt;</pre>
</li>
 	<li>Di sisi server, definisikan domain yang akan diperbolehkan untuk mengirim rekues. Dalam kasus ini domainnya adalah <a href="http://origin-domain.com/">http://origin-domain.com</a>.
<pre>&lt;?php
  header("Access-Control-Allow-Origin: http://origin-domain.com");
?&gt;</pre>
Apabila kita hendak memperbolehkan semua rekues dari mana saja diterima, maka gunakan wildcard (*).
<pre>&lt;?php
  header("Access-Control-Allow-Origin: *");
?&gt;</pre>
</li>
 	<li>Cek response header:
<ul>
 	<li>Apabila rekues diterima dengan otoritas akses, server akan membolehkan respon. Response header akan menyertakan header Access-Control-Allow-Origin di sisi server.
<pre>HTTP/1/1 200 OK
Access-Control-Allow-Origin: http://origin-domain.com</pre>
</li>
 	<li>Bila rekues diterima tanpa otoritas akses, server tidak akan mengirimkan respon, dan akan muncul error:
<pre>XMLHttpRequest cannot load http://another-domain.com/CORS.
Origin http://another-domain.com/CORS is not allowed by Access-Control-Allow-Origin.</pre>
</li>
</ul>
</li>
</ol>
<h4>Preflight Request</h4>
Preflight request berarti rekues yang non-simple, dan bersifat case-sensitive. Apabila otoritas akses diperbolehkan melalui preflight request, maka kita dapat melakukan akses rekues selanjutnya untuk mengirim data. Preflight request dapat memperbolehkan akses berdasarkan variasi standar selain Origin, seperti HTTP certification, HTTP method (seperti GET, POST, PUT, dll), atau cara lain sesuai dengan headernya.

Bila menggunakan preflight request, respon yang diset di server harus menggunakan response header berikut:
<ul>
 	<li><code>Access-Control-Allow-Origin</code> (wajib)</li>
 	<li><code>Access-Control-Allow-Methods</code> (wajib)</li>
 	<li><code>Access-Control-Allow-Headers</code> (wajib, bila menggunakan custom header)</li>
 	<li><code>Access-Control-Allow-Credentials</code> (opsional)</li>
 	<li><code>Access-Control-Expose-Headers</code> (opsional)</li>
 	<li><code>Access-Control-Max-Age</code> (opsional)</li>
</ul>
<img class="alignnone size-large wp-image-12788" src="https://wordpress.codepolitan.com/wp-content/uploads/2016/09/3-1-700x213.png" alt="3" width="700" height="213" />

Berikut adalah contoh teknis dari implementasi preflight request:
<ol>
 	<li>Buat XML HTTP Request di sisi klien, dalam hal ini di dalam aplikasi mobile web Tizen, menggunakan JavaScript untuk merekues AJAX. Tambahkan rekues Content-Type dan custom header.
<pre>&lt;script&gt;
<strong>var</strong> xhr = <strong>new</strong> XMLHttpRequest();
xhr.open("PUT", "http://another-domain.com/CORS/");
xhr.setRequestHeader("Content-Type", "application/json");
xhr.setRequestHeader("Header-Custom-TizenCORS", "OK");
xhr.send(data);
&lt;/script&gt;</pre>
</li>
</ol>
<ol start="2">
 	<li>Di sisi server, definisikan domain yang diperbolehkan rekues. Dalam kasus ini domain yang memiliki otoritas adalah <a href="http://110.0.0.160:8081/">http://110.0.0.160:8081</a>. Tambahkan juga beberapa pengaturan server lainnya.
<pre>&lt;?php
header("Access-Control-Allow-Origin: http://110.0.0.160:8081");

/* Allowed request method */
header("Access-Control-Allow-Methods: PUT");

/* Allowed custom header */
header("Access-Control-Allow-Headers: Content-Type");

/* Age set to 1 day to improve speed caching */
header("Access-Control-Max-Age: 86400");

/* Options request exits before the page is completely loaded */
if (strtolower($_SERVER['REQUEST_METHOD']) == 'options')
{
    exit();
}

/* Response data */
$arr = array("user_name" =&gt; "tizen", "phone_number" =&gt; "12312334234");

/* Response data returned in JSON format */
echo json_encode($arr);

?&gt;</pre>
</li>
 	<li>Cek rekues dan respon header.
Bila kita mengecek network log, kita akan menemukan 2 komunikasi antara browser dan server terjadi berturut-turut: pertama adalah preflight request dan responnya, baru kemudian request dan respon yang aktual.
<ul>
 	<li>Preflight request mengecek otoritas akses sebelum mengirim data yang aktual. Header Origin dan Access-Control-Request-Headers telah ditambahkan ke dalam request, karena request sudah memiliki custom header yang didefinisikan sendiri, dan Content-Type diset ke application/json.
<pre>OPTION http://origin-domain.com/CORS/non_simple_reqeust.html HTTP/1.1
Host: origin-domain.com
Origin: http://origin-domain.com
Access-Control-Request-Headers: Header-Custom-Tizen, origin, content-type</pre>
</li>
 	<li>Bila request dikirim dari sisi browser, maka preflight response akan dikirim dari sisi server. Browser kemudian akan menentukan berdasarkan respon yang diterima, apakah data yang aktual sudah dikirim. Pada contoh preflight response berikut Content-Type dan Header-Custom-Tizen disertakan di dalam header Access-Control Allow-Headers.
<pre>HTTP/1/1 200 OK
Access-Control-Allow-Headers: Content-Type, Header-Custom-Tizen
Access-Control-Allow-Methods: PUT
Access-Control-Allow-Origin: http://origin-domain.com
Access-Control-Max-Age: 86400</pre>
</li>
 	<li>Sekali otoritas akses sudah dicek, browser akan mengirimkan data aktual yang direkues ke server. Rekues ini mengandung data yang aktual:
<pre>PUT http://origin-domain.com/CORS/non_simple_reqeust.html HTTP/1.1
Content-Type: application/json
Host: origin-domain.com
Origin: http://origin-domain.com
Header-Custom-TizenCOURSTest: OK</pre>
</li>
 	<li>Respon dari data aktual yang direkues mengandung hasil penanganan aktual:
<pre>HTTP/1/1 200 OK
Access-Control-Allow-Headers: Content-Type, Header-Custom-Tizen
Access-Control-Allow-Methods: PUT
Access-Control-Allow-Origin: http://origin-domain.com
Access-Control-Max-Age: 86400</pre>
Apabila otoritas akses ditolak, browser tidak akan mengirimkan data aktual, dan akan muncul pesan error di sisi browser:
<pre>XMLHttpRequest cannot load http://another-domain.com/CORS.
Request header field Header-Custom-<u>Tizen</u> is not allowed by Access-Control-Allow-Headers.</pre>
</li>
</ul>
</li>
</ol>
<h3>HTML5 iframe</h3>
HTML iframe biasa kita gunakan untuk menyisipkan halaman web lain ke dalam halaman web kita. Dalam hal pengembangan aplikasi mobile web Tize, iframe dapat digunakan untuk menangani isu keamanan dan juga desain dalam penyisipan konten web.

Fitur utama dari elemen iframe meliputi:
<ol>
 	<li>Atribut sandbox
Kita dapat menggunakan atribut sandbox pada elemen iframe untuk mengontrol eksekusi task yang dapat menghasilkan konten yang tidak reliabel, yang berarti meningkatkan keamanan aplikasi.
Bila atribut sandbox diisi dengan nilai kosong, beberapa batasan berikut akan diterapkan:
<ul>
 	<li>Konten akan diperlakukan sebagai bagian dari origin yang unik. Akses ke cookie, local storage, dan halaman lain dari domain yang sama tidak akan diperkenankan.</li>
 	<li>Submit form akan dinonaktifkan</li>
 	<li>Eksekusi script akan dinonaktifkan</li>
 	<li>Navigasi link akan dinonaktifkan</li>
 	<li>Plugin akan dinonaktifkan</li>
 	<li>Popup akan dinonaktifkan</li>
</ul>
Untuk dapat melalui pembatasan ini, kita dapat menggunakan kondisi pembatasan keamanan tambahan:
<ul>
 	<li>allow-same-origin, untuk mengaktifkan konten agar diperlakukan seolah-olah bagian dari origin yang sama</li>
 	<li>allow-top-navigation, mengaktifkan navigasi dari top-level context</li>
 	<li>allow-forms, mengaktifkan submisi form</li>
 	<li>allow-scripts, mengaktifkan eksekusi script, tetapi memblok popup</li>
 	<li>allow-popups, mengaktifkan pembukaan jendela popup dari elemen sandbox</li>
</ul>
</li>
 	<li>Atribut seamlessKita dapat menggunakan atribut seamless yang disediakan di elemen iframe untuk merender halaman sebagai bagian dari dokumen induk dan menampilkan di dalam elemen iframe.Catatan: atribut scrolling, align, frameborder, marginheight, marginwidth, dan longdesc tidak lagi didukung di versi terbaru dari HTML5.</li>
</ol>
&nbsp;

Referensi:

<a href="https://developer.tizen.org/ko/development/getting-started/web-application/understanding-tizen-programming/security-and-api-privileges">https://developer.tizen.org/ko/development/getting-started/web-application/understanding-tizen-programming/security-and-api-privileges</a>

<a href="https://developer.tizen.org/ko/development/tutorials/web-application/w3chtml5supplementary-features/security/cross-origin-resource-sharing">https://developer.tizen.org/ko/development/tutorials/web-application/w3chtml5supplementary-features/security/cross-origin-resource-sharing</a>

<a href="https://developer.tizen.org/ko/development/guides/web-application/w3chtml5supplementary-features/security/html5-iframe-element-0">https://developer.tizen.org/ko/development/guides/web-application/w3chtml5supplementary-features/security/html5-iframe-element-0</a>

&nbsp;

Mekanisme Keamanan Aplikasi Web di Sistem Operasi Tizen

GenAI Video Fest adalah ajang kompetisi video kreatif yang diselenggarakan oleh CODEPOLITAN bekerjasama dengan Alibaba Cloud.

Kami menantang kreator, tech-enthusiast, dan siapa saja untuk mendobrak batas imajinasi menggunakan teknologi Generative AI terbaru. Di sini, kamu wajib menggunakan WAN Model Studio dari Alibaba Cloud sebagai tools utama untuk menghasilkan karya videomu (bisa dikombinasikan dengan tools editing lainnya).

Tunjukkan pada dunia bagaimana teknologi dan kreativitas bisa bersatu menciptakan karya visual yang berdampak!

Kategori Kompetisi
Pilih satu dari empat tema besar ini untuk karyamu:
* Humanity (Kemanusiaan): Cerita yang menyentuh hati, sosial, dan kepedulian antar sesama.
* Sports (Olahraga): Energi, semangat juang, dan dinamika dunia olahraga.
* Entertainment (Hiburan): Komedi, musik, video klip, atau parodi yang menghibur.
* Science (Sains): Visualisasi masa depan, teknologi, alam semesta, atau penemuan ilmiah.

Total Prize Pool senilai Rp 250.000.000 menunggu para pemenang!
* Top Winners Rewards: Uang Tunai, Alibaba Cloud Credits (hingga $500), Merchandise Eksklusif, dan SWAG CODEPOLITAN.
* Lucky Draw Event: Kesempatan menang hadiah tambahan bagi peserta yang beruntung.
* Massive Exposure: Karya terbaik akan di-highlight di media sosial CODEPOLITAN, Alibaba Cloud, dan channel industri kreatif lainnya.
* Special Access (Khusus Alumni RuangAI): Dapatkan 2 Token untuk klaim Kelas Spesialisasi di RuangAI secara gratis.

Jangan sampai ketinggalan tanggal penting ini:
* Pendaftaran & Submission: 23 Desember 2024 - 23 Januari 2025
* Penjurian (Judging Phase): 24 - 26 Januari 2025
* Pengumuman Pemenang: 27 Januari 2025

Cara Ikutan:
1. Daftar: Klik tombol "Daftar Sekarang" dan pastikan kamu punya akun RuangAI.
2. Join Discord: Masuk ke server Discord komunitas untuk info teknis dan diskusi.
3. Create: Buat video kreatifmu menggunakan WAN Model Studio (Alibaba Cloud) sesuai kategori pilihan.
4. Upload & Submit: Unggah videomu ke media sosial (IG/TikTok/YouTube) dan submit link karyamu di halaman submission RuangAI.

Ikuti kompetisi video Generative AI terbesar dari CODEPOLITAN dan Alibaba Cloud! Gunakan teknologi WAN Model Studio untuk menyulap ide liarmu menjadi visual memukau. Rebut total hadiah senilai Rp 250.000.000!

GenAI Video Fest

Beasiswa Basic Cybersecurity adalah program inisiatif dari JagoanSiber yang dirancang untuk membuka wawasan masyarakat luas tentang dunia keamanan digital. Program ini hadir untuk menjawab kebutuhan talenta keamanan siber yang tinggi, dimulai dengan membangun pemahaman fundamental yang kokoh.

Program ini berbentuk Kelas Online Belajar Mandiri (Self-Paced Learning) berbasis video. Peserta diberikan keleluasaan penuh untuk mengakses materi kapan saja dan di mana saja tanpa terikat jadwal, sehingga sangat fleksibel bagi pelajar, mahasiswa, maupun pekerja profesional.

Kelebihan utama program ini adalah aksesnya yang 100% GRATIS dan terbuka untuk siapa saja tanpa syarat latar belakang IT. Peserta akan dibimbing langsung oleh Mahrus Qusaery, seorang praktisi keamanan siber berpengalaman, yang akan mengupas tuntas materi dasar yang krusial.

Program beasiswa kelas online gratis untuk mempelajari dasar keamanan siber dari nol. Belajar mandiri berbasis video langsung dari praktisi ahli, Mahrus Qusaery.

Mekanisme Keamanan Aplikasi Web di Sistem Operasi Tizen

Learning

KelasFullstack

RuangAI

JagoanSiber

Baca Artikel Lainnya

Micro Python, Bahasa Python untuk Pemrograman Mikrokontroller

CodeIgniter PHP Framework Sekarang Punya Rumah Baru

Ikuti Giveaway dari CoderTalk dan Menangkan 6 Hadiah Menarik

Membuat Website Statis Gratis dengan Memanfaatkan Github Pages

Cara Install Node.js

Digital Input Output pada Arduino