Es posible eludir la seguridad de auth_brute_force
intentando iniciar sesión a través de xmlrpc / jsonrpc. Los intentos de inicio de sesión realizados de esta manera no son verificados por el módulo y no cuentan para el límite de intentos fallidos para la prohibición.
Yo diría que la interfaz jsonrpc es la preferida para las herramientas de fuerza bruta, por lo que, en mi opinión, esta limitación no es insignificante.
: +1: Cuando escribí este módulo, lo probé con intentos de interfaz de usuario frontal.
esto podría ser una buena adición a los intentos de registro de xmlrpc. ¿Crees que podrías hacer relaciones públicas?
Saludos.
Hola @lasley. Me permití cambiar la etiqueta que estableciste. Creo que ese "error" es más apropiado porque lo que está hablando @LeartS hace que este módulo sea inútil.
La solución está en https://github.com/OCA/server-tools/pull/1219 , continuemos allí.
Comentario más útil
Hola @lasley. Me permití cambiar la etiqueta que estableciste. Creo que ese "error" es más apropiado porque lo que está hablando @LeartS hace que este módulo sea inútil.