Server-tools: auth_brute_force berücksichtigt keine Anmeldeversuche für xmlrpc / jsonrpc

Erstellt am 10. Jan. 2018  ·  3Kommentare  ·  Quelle: OCA/server-tools

Es ist möglich, die Sicherheit von auth_brute_force zu umgehen, indem Sie versuchen, sich über xmlrpc / jsonrpc anzumelden. Die auf diese Weise durchgeführten Anmeldeversuche werden vom Modul nicht überprüft und zählen nicht für das Limit der fehlgeschlagenen Versuche für das Verbot.

Ich würde argumentieren, dass die jsonrpc-Schnittstelle die bevorzugte für Bruteforcing-Tools ist, daher ist diese Einschränkung meiner Meinung nach nicht zu vernachlässigen.

bug
Quelle
picture LeartS

Hilfreichster Kommentar

Hallo @lasley. Ich habe mir erlaubt, das von Ihnen festgelegte Etikett zu ändern. Ich denke, dass "Bug" besser geeignet ist, weil das, was @LeartS spricht, dieses Modul unbrauchbar macht.

picture legalsylvain am 11. Jan. 2018
👍2

Alle 3 Kommentare

: +1: Als ich dieses Modul geschrieben habe, habe ich es gerade mit Front UI-Versuchen getestet.
Dies könnte eine gute Ergänzung sein, um Versuche von xmlrpc zu protokollieren. Glaubst du, du könntest eine PR machen?

Grüße.

legalsylvain picture legalsylvain am 10. Jan. 2018

Hallo @lasley. Ich habe mir erlaubt, das von Ihnen festgelegte Etikett zu ändern. Ich denke, dass "Bug" besser geeignet ist, weil das, was @LeartS spricht, dieses Modul unbrauchbar macht.

legalsylvain picture legalsylvain am 11. Jan. 2018
👍2

Das Update befindet sich unter https://github.com/OCA/server-tools/pull/1219. Fahren wir dort fort.

Yajo picture Yajo am 27. Apr. 2018
War diese Seite hilfreich?
0 / 5 - 0 Bewertungen

Verwandte Themen

lasley picture lasley  ·  8Kommentare
pedrobaeza picture pedrobaeza  ·  66Kommentare
pedrobaeza picture pedrobaeza  ·  19Kommentare
lasley picture lasley  ·  15Kommentare
MosabWadea picture MosabWadea  ·  5Kommentare