Il est possible de contourner la sécurité auth_brute_force
en essayant de se connecter via xmlrpc / jsonrpc. Les tentatives de connexion effectuées de cette manière ne sont pas vérifiées par le module et ne comptent pas dans la limite des tentatives infructueuses vers l'interdiction.
Je dirais que l'interface jsonrpc est la préférée pour les outils de bruteforcing, donc IMO cette limitation n'est pas négligeable.
: +1: Quand j'ai écrit ce module, je viens de tester avec des tentatives d'interface utilisateur frontale.
cela pourrait être un bon ajout pour enregistrer les essais de xmlrpc. Pensez-vous que vous pourriez faire un PR?
Cordialement.
Salut @lasley. Je me suis permis de changer l'étiquette que vous avez définie. Je pense que "bug" est plus approprié car ce que @LeartS parle rend ce module inutile.
Le correctif est sur https://github.com/OCA/server-tools/pull/1219 , continuons là.
Commentaire le plus utile
Salut @lasley. Je me suis permis de changer l'étiquette que vous avez définie. Je pense que "bug" est plus approprié car ce que @LeartS parle rend ce module inutile.