Hi, Sejak tahun lalu banyak terjadi account diketahui username/passwordnya oleh spammer (Account Hijacking) sehingga di MDaemon membuatkan fitur Hijack Account Detection sejak di MD 13.0.x untuk mengurangi dampak buruknya, hijack account bisa diketahui secara dini dan di stop.
Hijack account ini disamping karena username/password tidak mengikuti kriteria "Strong Password" (kombinasi huruf besar, huruf kecil dan angka) juga karena user yang menggunakan webmail terlupa melakukan prosedur logout (klik tombol "sign out"). Jika menggunakan webmail dan setelah selesai tidak melakukan log out maka "webmail session" akan tetap "open" selama 20 -120 menit (default idle time out di Worldclient Webmail) yang rawan di hijack oleh "orang jahil" http://en.wikipedia.org/wiki/Session_hijacking Di MDaemon Worldclient sebenarnya telah ditambahkan fitur untuk mencegah masalah itu dengan pengaktifan "cookies" dan "persistent IP" http://mdaemon.dutaint.co.id/13.0.1/index.html?wc__web_server.htm [x] Use cookies to remember logon name, theme, and other properties [x] Require IP persistence throughout WorldClient session akan tetapi hal itu menimbulkan masalah baru jika webmail diakses dari luar (internet) saat user sedang melakukan perjalanan (travelling) dimana umumnya mereka tidak bisa memilih koneksi internet yang digunakan, dalam hal ini "IP persistent" akan memblock koneksi melalui "load balance proxy" (multi proxy server) yang semakin umum diterapkan oleh penyedia jasa koneksi internet yang besar. Disamping itu, cookies juga akan memicu tampilnya menu "save password" di penjelajah maya (browser) yang terkadang membuat travel user tidak sengaja mengaktifkannya dengan "klik yes/ok" padahal ybs sedang tidak memakai mobile devices miliknya sendiri. Salah satu jalan keluarnya yang bisa dilakukan adalah mengajarkan ke travel user ini untuk mengaktifkan fitur "private browsing" di piranti browser yang digunakan. http://support.mozilla.org/en-US/kb/private-browsing-browse-web-without-saving-info --- awal kutipan ---> Private Browsing allows you to browse the Internet without saving any information about which sites and pages you’ve visited. This article explains what information is not saved when in Private Browsing and gives you step-by-step instructions for using it. <--- akhir kutipan --- Dengan private browsing ini browser maka akses worldclient webmail menjadi relatif lebih aman. Ini saya kutip tulisannya "Dave Warren" salah satu veteran MDaemon yang dia tulis di milis [email protected]. --- awal kutipan ---> Private Browsing mode removes cookies, browser history, browser-level auto-fill, as well as avoids having passwords saved at the browser level at all. It won't help you against keyloggers or similar, but it's not intended to -- The point is that if your concern is that users will leave tracks behind (like their email address in a cookie), private browsing will ensure that doesn't happen without losing the benefit of session cookies. <--- akhir kutipan --- Cara mengaktifkan private browsing bisa dilihat disini http://www.switched.com/2011/03/08/how-to-browse-privately-chrome-safari-firefox-ie/ http://howto.wired.com/wiki/Browse_Privately Agar selalu menggunakan private browsing http://www.askvg.com/how-to-always-start-your-favorite-web-browser-in-private-browsing-mode-by-default/ -- syafril ------- Syafril Hermansyah MDaemon-L Moderators, running MDaemon 13.5 Beta RC4 SecurityPlus 4.1.5 Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. -- --[MDaemon-L]------------------------------------------------ Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: http://www.netmeister.org/news/learn2quote Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 13.0.5, SP 4.1.5, BES 2.0.2, OC 2.3.1, SG 2.1.2, PP 2.0.1
