Grav-plugin-admin: صفحة تسجيل الدخول عرضة لهجوم القوة الغاشمة

تم إنشاؤها على ٣ نوفمبر ٢٠١٦  ·  14تعليقات  ·  مصدر: getgrav/grav-plugin-admin

لوحة الإدارة عرضة لهجمات القوة الغاشمة. تعرض صفحة تسجيل الدخول (/ admin) رمزًا إذا كان المستخدم موجودًا ورمزًا آخر إذا كان المستخدم غير موجود ولا يوجد عائق يوقف الأنظمة الآلية لمحاولة ذلك. لا أستمتع بهذه الفكرة تمامًا ، لكنني أعتقد أن أسهل طريقة لإصلاح ذلك على الفور هي إدخال كلمة التحقق. يمكن أن يكون البديل الآخر (غير متأكد من مدى فعاليته) هو الحد من عدد المحاولات من نفس عنوان IP في اليوم.

صفحة كلمة المرور المنسية معرضة للهجوم أيضًا ... عند محاولة طلب رابط كلمة المرور المنسية ، يؤكد النظام ما إذا كان البريد الإلكتروني مسجلاً أم لا. أود أن أقترح تغييره إلى رسالة عامة مثل "إذا كان هذا بريدًا إلكترونيًا مسجلاً ، فقد تم إرسال ارتباط الاسترداد إليه. إذا لم تتلق الرابط ، فاتصل بمسؤول الموقع" أو شيء من هذا القبيل. .. لكنني لست متأكدًا مما إذا كان ذلك سيكون كافياً. ربما قد يرغب شخص لديه خبرة أكبر في النظر في هذا الأمر.

enhancement
مصدر
picture rsip22
👍6

التعليق الأكثر فائدة

التأخيرات بين محاولات تسجيل الدخول - ويفضل أن تزيد ، وربما بشكل كبير ، مع كل محاولة تصل إلى حد معين - تمنع بشكل فعال هجمات القوة الغاشمة. يمكن تعيين التأخيرات والحدود كمعلمات.

picture billhemsley في ٨ نوفمبر ٢٠١٦
👍6

ال 14 كومينتر

أود فقط استخدام رسالة خطأ واحدة تفيد بشيء مثل: Incorrect username or password. هذه التغييرات (تم تضمين تغيير سلسلة كلمة المرور المنسية) ستجعل من المستحيل تخمين أسماء المستخدمين في أي من النموذجين.

لن أقوم بتقييد الوصول عن طريق عناوين IP ، لكن إضافة captcha كخيار ليس بالفكرة السيئة.

mahagr picture mahagr في ٣ نوفمبر ٢٠١٦
👍2

لا أحب حقًا خيار captcha ، ولكن إذا كان لا بد من إضافته ، فهل يمكننا على الأقل تنشيطه بعد بضع محاولات فاشلة (مثل 3 ، أو شيء من هذا القبيل)؟

rsip22 picture rsip22 في ٥ نوفمبر ٢٠١٦
👍2

التأخيرات بين محاولات تسجيل الدخول - ويفضل أن تزيد ، وربما بشكل كبير ، مع كل محاولة تصل إلى حد معين - تمنع بشكل فعال هجمات القوة الغاشمة. يمكن تعيين التأخيرات والحدود كمعلمات.

billhemsley picture billhemsley في ٨ نوفمبر ٢٠١٦
👍6

تم تعديل وظيفة نسيت كلمة المرور في الإصدار التجريبي من البرنامج المساعد لتسجيل الدخول. يستغرق فقط عناوين البريد الإلكتروني الآن.

rhukster picture rhukster في ١٢ نوفمبر ٢٠١٦

أيضًا ، تم تحريره لطباعة نفس الرسالة سواء كان البريد الإلكتروني موجودًا أم لا ، في https://github.com/getgrav/grav-plugin-login/commit/3e7c20fd66639123cfb2894d9298d4ccfb861af9

flaviocopes picture flaviocopes في ١٥ نوفمبر ٢٠١٦

المحاولات الفاشلة في التسجيل ستكون جيدة أيضًا بالنسبة لـ fail2ban وما إلى ذلك :)

Mahagon picture Mahagon في ٦ مايو ٢٠١٧
👍4

ماذا عن طريقة للحد من عدد محاولات تسجيل الدخول غير الصحيحة في فترة زمنية معينة؟

tech4him1 picture tech4him1 في ٦ يوليو ٢٠١٧

يحتوي المكون الإضافي لتسجيل الدخول الآن على قسم أمان في تكوينه للتحكم في ذلك: https://github.com/getgrav/grav-plugin-login/commit/590f188189c8453afb5992e7ec385795336ee711

flaviocopes picture flaviocopes في ٦ يوليو ٢٠١٧
👍3

سيكون من الجيد حتى أن يكون لديك خيار اختبار captcha. أيضًا ، لا يبدو أن الحماية من الفيضانات تعمل على الإطلاق.
لا يمنعك Grav أبدًا من إدخال المزيد من كلمات المرور ، حتى مع تمكين ميزات الأمان. كما أنه لا يمد الوقت بين محاولات تسجيل الدخول.

هل أفعل شيئًا خاطئًا أم أن المكون الإضافي معطل ببساطة؟

Neicul picture Neicul في ٢٤ يوليو ٢٠١٧

في الواقع ، لا تنطبق حماية القوة الغاشمة للمكوِّن الإضافي تسجيل الدخول على المسؤول (سيئتي كتابة العكس هنا). في Admin ، لديك خيار إضافة حماية على مستوى خادم الويب (على سبيل المثال htaccess / htpasswd في Apache) وأيضًا تقييدها بنطاق IP ، حتى تهبط هذه الميزة في Admin أيضًا.

flaviocopes picture flaviocopes في ٢٤ يوليو ٢٠١٧
😕1

أنا أرى. نعم أعتقد أن هذا هو الشيء المعقول الذي يجب القيام به حتى ذلك الحين.
في الوقت الحالي ، يبدو هذا وكأنه خطأ أمني صارخ ، إذا لم يتلق المستخدمون على الأقل تحذيرًا بضرورة تأمين صفحة المسؤول.

أيضًا ، كما تم اقتراحه بالفعل: سيكون التحذير من محاولات تسجيل الدخول الفاشلة في لوحة المعلومات أمرًا رائعًا للغاية.

آمل في الحصول على تحديث حول هذا قريبًا :)

تحرير: يقتل حل htaccess إلى حد كبير جميع ملفات css على صفحة المسؤول. مما يجعلها غير صالحة للاستعمال إلى حد ما.

Neicul picture Neicul في ٢٤ يوليو ٢٠١٧
👍1

حاليًا ، أفضل ما يمكنك فعله لتحسين أمان المسؤول هو إخفاء صفحة المسؤول عن طريق إعادة تسميتها ، على النحو التالي:
https://learn.getgrav.org/admin-panel/faq#custom -admin-url
آمل حقًا أن تأتي حماية تسجيل الدخول للمسؤول قريبًا ، لأن هذا يمنعني من استخدامها على موقع الشركة.

Neicul picture Neicul في ٢٦ يوليو ٢٠١٧

في الواقع ، لا تنطبق حماية القوة الغاشمة للمكوِّن الإضافي تسجيل الدخول على المسؤول (سيئتي كتابة العكس هنا). في Admin ، لديك خيار إضافة حماية على مستوى خادم الويب (على سبيل المثال htaccess / htpasswd في Apache) وأيضًا تقييدها بنطاق IP ، حتى تهبط هذه الميزة في Admin أيضًا.

يبدو أن الحماية من القوة الغاشمة تعمل على صفحة تسجيل دخول المسؤول. إنه موجود أيضًا في المستندات . هل هذا التعليق قديم أم أنا أسوء الفهم؟

هل يعرف أي شخص أيضًا كيفية جعل Grav يعمل مع fail2ban؟

diegovogel picture diegovogel في ٢٢ مارس ٢٠١٩

يعمل الحل البديل الخاص بي فقط إذا كان لديك وصول FTP إلى جميع الخوادم / الاستضافة.

يمكنك تحرير .htaccess للسماح فقط لعنوان IP المحدد بقراءة / admin / المجلد. لن يتمكن أي عنوان IP آخر (وبرامج الروبوت اللاحقة) من تحميل أي من محتويات المجلد.

اعتدت استخدام هذه الطريقة لعدم السماح للجميع ، ولكن عنوان IP الخاص بي ... للتحقق مما إذا كان موقع ويب البناء يعمل ، قبل بدء تشغيله. كان هذا قبل أن تتمكن من تشغيل خادم ويب محلي. ربما لا يزال هذا يعمل مع هؤلاء المستخدمين القلائل الذين يخشون ويريدون التحكم الكامل من IP الخاص بهم فقط.

MakePixelsWork picture MakePixelsWork في ٤ ديسمبر ٢٠١٩
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

ghost picture ghost  ·  6تعليقات
orasik picture orasik  ·  6تعليقات
wildafrica picture wildafrica  ·  4تعليقات
CoDanny picture CoDanny  ·  3تعليقات
coolemur picture coolemur  ·  3تعليقات