On 12/06/2013 10:44, Danel K wrote: > Kalau standar password yang kami gunakan disini kami selalu mengedukasi user > untuk membuat password minimal dengan gabungan antara huruf dan angka dan > dengan symbol akan lebih baik lagi. Namun itu semua balik lagi ke usernya, > biasanya mereka juga gk mau ribet dengan password.
Kenapa tidak diaktifkan "Strong password" saja di MDaemonnya? http://mdaemon.dutaint.co.id/13.0.1/index.html?account_defaults_mailbox.htm [x] Require strong passwords Di MD 13.5 nanti bisa diisi daftar "bad password" yang tidak boleh dipilih dan ada "expired password" x days serta saat new account dibuat maka user harus mengganti passwordnya saat pertama kali login. > Kalau email tersebut > kenapa bisa di hijack spammer kemungkinan sih sepertinya terkena phising > link yang dikirimkan oleh spammer. Saya ragu soal itu, karena browser modern umumnya sudah dilengkapi fasilitas untuk mendeteksi fraud detection and prevention. Anda tidak mengaktifkan cookies di Worldclient webmailkan? Kalau diaktifkan maka lebih baik semua travel user direkomendasikan menggunakan private browsing http://www.mail-archive.com/[email protected]//msg28877.html Untuk mentest session hijack, saat login ke worldclient clik link berikut https://mail.hireahit.com/webmail/worldclient.dll?Session=Y71067INY4EJZ&View=BlankMessageBody BTW. Test saja agar terlihat bagaiman resiko dari Session Hijacking itu bisa dilakukan. Tidak usah kuatir mencoba tautan itu, karena web itu milik MDaemon user di Canada (Dave Warren). Kerentanan session hijacking itu praktis terjadi di semua webmail client (apapun OS platform nya), dan masalah proteksi ini yang membuat Alt-N merelease MD 13.0.4 http://www.qsecure.com.cy/advisories/Alt-N_MDaemon_WorldClient_Predictable_Session_ID.html -- syafril ------- Syafril Hermansyah MDaemon-L Moderators, running MDaemon 13.5 Beta RC4 SecurityPlus 4.1.5 Harap tidak cc: atau kirim ke private mail untuk masalah MDaemon. -- --[MDaemon-L]------------------------------------------------ Milis ini untuk Diskusi antar pengguna MDaemon Mail Server. Netiket: http://www.netmeister.org/news/learn2quote Arsip: http://mdaemon-l.dutaint.com Dokumentasi : http://mdaemon.dutaint.co.id Henti Langgan: Kirim mail ke MDaemon-L-unsubscribe [at] dutaint.com Berlangganan: kirim mail ke MDaemon-L-subscribe [at] dutaint.com Versi terakhir MD 13.0.5, SP 4.1.5, BES 2.0.2, OC 2.3.1, SG 2.1.2, PP 2.0.1
