Dear Pak Syafril,
Pentester melakukan pengecekan terhadap security header pada webmail mengunakan tools shcheck, dan ditemukan beberapa security header yang belum di implementasikan sehingga dinilai rentan terhadap serangan seperti XSS, MiTM, dan lainnya. Adapun security header yang belum di implementasikan, antara lain : 1. Strict-Transport-Security: max-age=63072000; includeSubDomain; preload 2. Content-Security-Policy: default-src 'self' 3. X-Frame-Option: DENY 4. X-XSS-Protection: 0 5. X-Content-Type-Options: nosniff 6. Referrer-Policy: strict-origin-when-cross-origin 7. Permission-Policy: geolocation=(), camera=(), microphone=() 8. Cross-Origin Resource Sharing (CROS): https://yoursite.com 9. Cache-Control: no-store Apakah pada webmail Mdaemon dapat mengaktifkan 9 HTTP Security Headers diatas Pak? Terimakasih, Asep. Y -- --[mdaemon-l]---------------------------------------------------------- Milis ini untuk Diskusi antar pengguna MDaemon Mail Server di Indonesia Netiket: https://wiki.openstack.org/wiki/MailingListEtiquette Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.com Berlangganan: Kirim mail ke [email protected] Henti Langgan: Kirim mail ke [email protected] Versi terakhir: MDaemon 25.5.1, SecurityGateway 11.0.3
