En el pasado, Zimbra recomendaba configurar el encabezado de respuesta HTTP X-XSS-Protection . Este encabezado solía habilitar protección adicional contra ataques de secuencias de comandos entre sitios (XSS) en algunos navegadores web. Sin embargo, este encabezado ahora está obsoleto y se elimina el soporte de la mayoría de los navegadores. En caso de que haya configurado Zimbra para usar el encabezado X-XSS-Protection o si no está seguro de si su Zimbra lo usa, puede seguir los pasos a continuación para verificar y deshabilitar el encabezado. Dado que el uso continuado del encabezado puede introducir nuevas vulnerabilidades de seguridad.
Verificar y configurar encabezados de respuesta
Para averiguar los encabezados de respuesta actuales que Zimbra está configurado para usar, emita los siguientes comandos:
sudo su zimbra -
zmprov gcf zimbraResponseHeader
Salida de ejemplo:
zimbraResponseHeader: Strict-Transport-Security: max-age=31536000; includeSubDomains
zimbraResponseHeader: X-XSS-Protection: 1; mode=block
zimbraResponseHeader: X-Content-Type-Options: nosniff
zimbraResponseHeader: X-Robots-Tag: noindex
Aquí puede ver que el encabezado `X-XSS-Protection` está realmente en uso. Para eliminar el encabezado, ejecute los siguientes comandos:
zmprov mcf -zimbraResponseHeader "X-XSS-Protection: 1; mode=block"
zmcontrol restart
Tenga en cuenta que es posible que no vea el cambio hasta que se vacíe la memoria caché del navegador.
Fortalecimiento de la seguridad de Zimbra
En caso de que esté interesado en fortalecer aún más su seguridad Zimbra, eche un vistazo a las siguientes páginas wiki:
Lecturas adicionales sobre la obsolescencia del encabezado X-XSS-Protection
En caso de que esté interesado en obtener más información sobre la desaprobación del encabezado X-XSS-Protection, consulte los enlaces a continuación:
Linware Perú ⯈