> Perhatikan soal session-ID ini. > Jika user-2 sign out lalu login lagi ke Webmail maka session-ID webmailnya > akan berubah, maka saat itu link (hijack) itu tidak lagi bisa dipakai juga. > > Agar tahu URL link attachment itu harus dengan meminta user-2 menchecknya dan > kasih tahu, tidak bisa dengan hijack webmail session yang sedang digunakan > user-2.
Betul Pak, saya juga sudah sampaikan kepada pentester bahwa hal ini hanya bisa terjadi jika para penerima menyebarkan link nya dan session account pengirim masih aktif, jika sesi pengirim sudah log-out maka link sudah tidak bisa dipakai. > Yang bisa dilakukan adalah dengan membuat secure session Webmailnya dengan > > Opsi 1. Diaktifkan IP persistent check > https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html > [x] Require IP persistence throughout Webmail session > > Opsi 2. Idle session time out dipersingkat. > https://mdaemon.dutaint.com/mdaemon/25.5.0/wc--web_server.html > LAN IP Sessions not composing a message expire after 15 inactive minutes LAN > IP Sessions composing a message expire after 100 inactive minutes > > Opsi 3. Webmail hanya bisa digunakan dari LAN (jaringan internal) > https://mdaemon.dutaint.com/mdaemon/25.5.0/template-manager_web-services.html > > [x] Enable Webmail access > [x] ...but only from LAN IPs > > 4. Minta semua user mengaktifkan 2FA (Two Factor Authentication) > https://knowledge.mdaemon.com/enable-two-factor-authentication-webmail-remote-administration Untuk 4 opsi ini sepertinya saya akan coba aktifkan opsi 1 dan 2 Pak. Terkait opsi 1, disampaikan bahwa "This configuration is more secure but could cause problems for users who may be using a proxy server or Internet connection that dynamically assigns and changes IP addresses" Untuk ip yang dinamis, apakah jika ada user-1 yang menggunakan ip isp yang dynamis, jika saat sesi login webmail dia menggunakan IP-A, lalu log-out, ketika mau login lagi sudah mendapatkan IP-B. Apakah user-1 ini bisa login dengan IP-B? atau tidak bisa login krn sudah dicatat hanya bisa login menggunakan IP-A? Terimakasih, Asep. Y -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.com Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
