ADR-004 - Arsitektur Sistem Keamanan

ADR-004: Arsitektur Sistem Keamanan

Arsitektur keamanan komprehensif untuk CMS XOOPS yang melindungi dari ancaman modern.

Status

Diterima - Lapisan keamanan core sejak XOOPS 2.5

Konteks

Pernyataan Masalah

XOOPS membutuhkan sistem keamanan yang kuat yang:

Melindungi dari kerentanan web yang umum (OWASP Top 10)
Menyediakan kontrol izin terperinci di seluruh module
Memungkinkan otentikasi pengguna yang aman dengan standar modern
Mencegah pelanggaran data dan akses tidak sah
Mendukung kontrol akses multi-level (admin, moderator, pengguna, tamu)
Terintegrasi dengan semua module dengan lancar

Ancaman Saat Ini

Serangan web modern meliputi:

SQL Injection - SQL berbahaya di input pengguna
XSS (Cross-Site Scripting) - Memasukkan JavaScript ke dalam halaman
CSRF (Pemalsuan Permintaan Lintas Situs) - Pengiriman formulir tidak sah
Bypass otentikasi - Penanganan session/password yang lemah
Bypass otorisasi - Peningkatan hak istimewa
Paparan data - Data sensitif di URL, log, atau cache

Persyaratan Keamanan XOOPS

Otentikasi pengguna dan manajemen sesi
Kontrol akses berbasis peran (RBAC)
Sistem izin untuk module dan objek
Validasi masukan dan pelolosan keluaran
Perlindungan terhadap serangan umum
Audit pencatatan peristiwa keamanan
Penanganan kata sandi yang aman
Perlindungan token CSRF

Keputusan

Arsitektur Keamanan core

graph TB
    subgraph "Authentication Layer"
        A["User Authentication<br/>(Login/Sessions)"]
        B["Session Management<br/>(Tokens/Cookies)"]
        C["Password Security<br/>(Hashing/Salts)"]
    end

    subgraph "Authorization Layer"
        D["Role Management<br/>(Admin/User/Guest)"]
        E["Permission System<br/>(Module-level)"]
        F["Object Permissions<br/>(Item-level)"]
    end

    subgraph "Protection Layer"
        G["Input Validation<br/>(Type/Format)"]
        H["Output Escaping<br/>(HTML/JavaScript)"]
        I["CSRF Protection<br/>(Token Validation)"]
    end

    subgraph "Monitoring Layer"
        J["Audit Logging<br/>(Security Events)"]
        K["Rate Limiting<br/>(Brute Force)"]
        L["Intrusion Detection<br/>(Suspicious Activity)"]
    end

    A --> B
    A --> C
    D --> E
    E --> F
    G --> I
    H --> I
    J --> K
    K --> L

Komponen Keamanan

1. Sistem Otentikasi

Proses Login Pengguna:

<?php
// 1. Validate credentials
$user = $userHandler->findByLogin($username);
if (!$user || !password_verify($password, $user->getVar('pass'))) {
    throw new AuthenticationException('Invalid credentials');
}

// 2. Check if account is active
if (!$user->getVar('uactive')) {
    throw new AuthenticationException('Account inactive');
}

// 3. Create secure session
session_regenerate_id(true);
$_SESSION['uid'] = $user->getVar('uid');
$_SESSION['token'] = bin2hex(random_bytes(32));
$_SESSION['created'] = time();

// 4. Log the login
$this->auditLog('USER_LOGIN', $user->getVar('uid'));

Keamanan Kata Sandi:

<?php
// Use password_hash (not MD5 or SHA1)
$hashed = password_hash($password, PASSWORD_BCRYPT, [
    'cost' => 12, // High cost = slow brute force
]);

// Verify password
if (!password_verify($inputPassword, $hashed)) {
    throw new Exception('Invalid password');
}

// Rehash if algorithm or cost changed
if (password_needs_rehash($hashed, PASSWORD_BCRYPT, ['cost' => 12])) {
    $newHash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
    $user->setVar('pass', $newHash);
    $userHandler->insert($user);
}

2. Manajemen Sesi

Penanganan Sesi Aman:

<?php
// Session configuration
ini_set('session.cookie_httponly', true);  // No JS access
ini_set('session.cookie_secure', true);     // HTTPS only
ini_set('session.cookie_samesite', 'Strict'); // CSRF protection
ini_set('session.gc_maxlifetime', 3600);   // 1 hour timeout
ini_set('session.sid_length', 64);         // 64-char session ID

// Validate session
function validateSession() {
    // Check timeout
    if (time() - $_SESSION['created'] > 3600) {
        session_destroy();
        throw new SessionExpiredException();
    }

    // Validate user agent (prevent session hijacking)
    if ($_SESSION['user_agent'] !== $_SERVER['HTTP_USER_AGENT']) {
        throw new SessionInvalidException();
    }

    // Validate IP (optional, can be too strict)
    if (!in_array($_SERVER['REMOTE_ADDR'], $_SESSION['ips'])) {
        $_SESSION['ips'][] = $_SERVER['REMOTE_ADDR'];
    }
}

3. Otorisasi (RBAC)

Kontrol Akses Berbasis Peran:

<?php
class XoopsUser {
    public function hasPermission(string $permissionName): bool
    {
        // Get user groups
        $groups = $this->getGroups();

        // Check if any group has permission
        foreach ($groups as $groupId) {
            if ($this->checkGroupPermission($groupId, $permissionName)) {
                return true;
            }
        }

        return false;
    }

    /**
     * User groups and their permissions
     * Admin: Full access
     * Moderator: Content management
     * User: Create own content
     * Guest: Read-only access
     */
    private function checkGroupPermission(int $groupId, string $permission): bool
    {
        $permissions = [
            1 => ['admin_access'],                 // Admin group
            2 => ['moderate_content', 'edit_own'], // Moderator group
            3 => ['create_content', 'edit_own'],   // User group
            4 => [],                               // Guest group (no permissions)
        ];

        return in_array($permission, $permissions[$groupId] ?? []);
    }
}

4. Validasi Masukan

Mencegah Kesalahan Injeksi dan Jenis SQL:

<?php
// Always use prepared statements
$sql = 'SELECT * FROM users WHERE id = ?';
$result = $db->query($sql, [$userId]); // ✅ Safe

// Input validation
function validateUserInput(array $data): array
{
    return [
        'email' => filter_var($data['email'] ?? '', FILTER_VALIDATE_EMAIL),
        'age' => filter_var($data['age'] ?? 0, FILTER_VALIDATE_INT),
        'website' => filter_var($data['website'] ?? '', FILTER_VALIDATE_URL),
        'title' => substr(trim($data['title'] ?? ''), 0, 255),
    ];
}

// XOOPS Safe Input class
$safe = \Xmf\Request::getHtmlRequest('var_name', '');
$int = \Xmf\Request::getInt('page', 1);

5. Keluaran Keluar

Mencegah Serangan XSS:

<?php
// In PHP templates
echo htmlspecialchars($userInput, ENT_QUOTES, 'UTF-8');

// In Smarty templates (automatic escaping)
<{$user_input}>  {* Escaped by default *}
<{$html|escape:false}>  {* Only when needed *}

// JavaScript context
<script>
var message = "<{$userMessage|escape:'javascript'}>";
</script>

// URL context
<a href="<{$url|escape:'url'}>">Link</a>

6. Perlindungan CSRF

Pencegahan Pemalsuan Permintaan Lintas Situs:

<?php
// Generate CSRF token
session_start();
if (empty($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
}

// In forms
<form method="POST">
    <input type="hidden" name="csrf_token" value="<{$csrf_token}>">
    <button type="submit">Submit</button>
</form>

// Validate token
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'] ?? '')) {
        // Process form
    } else {
        throw new InvalidTokenException('CSRF token invalid');
    }
}

Konsekuensi

Efek Positif

Perlindungan Komprehensif - Mencakup kelas kerentanan utama
Keamanan Berlapis - Pertahanan berlapis
RBAC Fleksibel - Kontrol izin yang terperinci
Jejak Audit - Melacak peristiwa keamanan
Standar Industri - Sesuai dengan rekomendasi OWASP
Integrasi module - module mudah menggunakan API keamanan

Efek Negatif

Kompleksitas - Dibutuhkan lebih banyak kode dan konfigurasi
Kinerja - Hashing dan validasi menambah overhead
Pengalaman Pengguna - Keamanan terkadang merepotkan
Pemeliharaan - Memerlukan pembaruan keamanan berkelanjutan
Diperlukan Pelatihan - Pengembang harus mengikuti praktik

Risiko dan Mitigasi

Resiko	Keparahan	Mitigasi
Pengembang mengabaikan keamanan	Tinggi	Tinjauan kode, pelatihan keamanan
Kerentanan baru ditemukan	Sedang	Audit keamanan rutin, pembaruan
Dampak kinerja	Rendah	Optimalkan jalur panas, caching
Izin yang terlalu rumit	Sedang	Dokumentasi yang jelas, contoh

Praktik Terbaik Keamanan

Untuk Pengembang module

<?php
// ✅ DO: Use prepared statements
$result = $db->prepare('SELECT * FROM table WHERE id = ?')->execute([$id]);

// ❌ DON'T: Concatenate queries
$result = $db->query("SELECT * FROM table WHERE id = $id");

// ✅ DO: Escape output
echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8');

// ❌ DON'T: Output raw user data
echo $user_input;

// ✅ DO: Check permissions
if (!$user->hasPermission('edit_content')) {
    throw new PermissionException();
}

// ❌ DON'T: Trust user roles directly
if ($_POST['is_admin']) {
    // Make user admin - SECURITY HOLE!
}

// ✅ DO: Validate input types
$page = (int)$_GET['page'];

// ❌ DON'T: Use untrusted values directly
$sql .= " LIMIT " . $_GET['limit'];

Alternatif Dipertimbangkan

OAuth/OpenID Hubungkan

Mengapa tidak dipilih pada awalnya: Terlalu rumit untuk lingkungan hosting bersama, namun bagus untuk integrasi di masa mendatang dengan sistem autentikasi eksternal.

Otentikasi Dua Faktor (2FA)

Status: Diterima sebagai ekstensi, bukan persyaratan core, lihat ADR-006

Status: Diimplementasikan - mencegah akses JavaScript ke data sesi

Keputusan Terkait

ADR-001: Arsitektur Modular - module menerapkan keamanan
ADR-005: Sistem Izin module
ADR-006: Otentikasi Dua Faktor (masa depan)

Referensi

Standar Keamanan

PHP Keamanan- Panduan Keamanan PHP

Alat

OWASP ZAP - Pengujian keamanan
Snyk - Pemindaian kerentanan
SonarQube - Kualitas kode

Daftar Periksa Implementasi

Riwayat Versi

Versi	Tanggal	Perubahan
1.0.0	28-01-2024	Dokumen awal

#xoops #adr #keamanan #arsitektur #autentikasi #otorisasi #rbac