Pengantar CSRF bagi Non-Tech: Ancaman Tersembunyi di Balik Login

Mungkin kamu sudah sering mendengar kata login, apalagi kalau sering menggunakan layanan online seperti email, bank, atau media sosial. Tapi, tahukah kamu ada ancaman keamanan yang disebut CSRF atau Cross-Site Request Forgery yang bisa menyerang saat kamu sedang login?

Tenang saja, artikel ini akan menjelaskan CSRF dengan bahasa yang sangat sederhana, supaya kamu paham tanpa harus jadi ahli teknologi.

Apa Itu CSRF?

CSRF adalah serangan yang membuat komputer atau browser kamu melakukan sesuatu yang tidak kamu sengaja lakukan, biasanya tanpa kamu sadari.

Misalnya, saat kamu sudah login di sebuah situs, tiba-tiba ada situs jahat yang membuat browser kamu mengirim perintah ke situs yang kamu login tadi — padahal kamu tidak ingin itu terjadi.

Contoh Sederhana

Bayangkan kamu sedang login ke akun bank online. Setelah itu, kamu membuka sebuah email atau situs lain yang ternyata berbahaya. Situs ini bisa memaksa browser kamu mengirim permintaan transfer uang ke rekening penjahat tanpa kamu tahu!

Karena kamu sudah login, situs bank mengira permintaan itu benar dari kamu.

Kenapa Ini Bisa Terjadi?

Browser otomatis mengirim cookie (semacam tanda pengenal login) setiap kali kamu melakukan permintaan ke sebuah situs. Jadi, meskipun kamu tidak mengklik apa-apa di situs jahat, browser tetap mengirim cookie tersebut.

Karena itu, situs yang kamu login percaya permintaan itu asli dari kamu.

Bagaimana Cara Melindungi Diri?

Untuk pengguna biasa, berikut beberapa tips mudah:

  • Jangan klik tautan atau buka email dari sumber yang tidak jelas.

  • Selalu logout setelah selesai menggunakan akun penting.

  • Gunakan aplikasi resmi untuk akses akun (misalnya aplikasi bank), bukan hanya lewat browser.

  • Pastikan situs yang kamu gunakan menggunakan protokol aman (alamat diawali dengan https://).

Apa yang Dilakukan Pengembang Situs?

Para pengembang web biasanya melindungi situs dengan menggunakan token CSRF — semacam kode rahasia yang harus disertakan setiap kali kamu mengirimkan perintah penting.

Kalau kode ini tidak ada atau salah, permintaan akan ditolak, sehingga penyerang tidak bisa berbuat jahat.

Kesimpulan

Walaupun CSRF terdengar rumit, intinya adalah ada ancaman yang bisa memanfaatkan keadaan kamu sedang login untuk melakukan hal-hal yang tidak kamu inginkan.

Tetapi dengan sedikit kehati-hatian dan perlindungan dari pengembang, ancaman ini bisa diminimalisir.

Penulias : Muhammad Aditya Alkhawarizmi

Nim : 23156201023

jurusan : Sistem Komputer