Es ist möglich, die Sicherheit von auth_brute_force
zu umgehen, indem Sie versuchen, sich über xmlrpc / jsonrpc anzumelden. Die auf diese Weise durchgeführten Anmeldeversuche werden vom Modul nicht überprüft und zählen nicht für das Limit der fehlgeschlagenen Versuche für das Verbot.
Ich würde argumentieren, dass die jsonrpc-Schnittstelle die bevorzugte für Bruteforcing-Tools ist, daher ist diese Einschränkung meiner Meinung nach nicht zu vernachlässigen.
: +1: Als ich dieses Modul geschrieben habe, habe ich es gerade mit Front UI-Versuchen getestet.
Dies könnte eine gute Ergänzung sein, um Versuche von xmlrpc zu protokollieren. Glaubst du, du könntest eine PR machen?
Grüße.
Hallo @lasley. Ich habe mir erlaubt, das von Ihnen festgelegte Etikett zu ändern. Ich denke, dass "Bug" besser geeignet ist, weil das, was @LeartS spricht, dieses Modul unbrauchbar macht.
Das Update befindet sich unter https://github.com/OCA/server-tools/pull/1219. Fahren wir dort fort.
Hilfreichster Kommentar
Hallo @lasley. Ich habe mir erlaubt, das von Ihnen festgelegte Etikett zu ändern. Ich denke, dass "Bug" besser geeignet ist, weil das, was @LeartS spricht, dieses Modul unbrauchbar macht.