Server-tools: auth_brute_force não considera tentativas de login xmlrpc / jsonrpc

Criado em 10 jan. 2018  ·  3Comentários  ·  Fonte: OCA/server-tools

É possível contornar a segurança auth_brute_force tentando logins via xmlrpc / jsonrpc. As tentativas de login feitas desta forma não são verificadas pelo módulo e não contam para o limite de tentativas falhadas para o banimento.

Eu diria que a interface jsonrpc é a preferida para ferramentas de força bruta, então, IMO, essa limitação não é desprezível.

bug
Fonte
picture LeartS

Comentários muito úteis

Olá @lasley. Eu me permiti mudar o rótulo que você definiu. Acho que "bug" é mais apropriado porque o que @LeartS está falando torna este módulo inútil.

picture legalsylvain em 11 jan. 2018
👍2

Todos 3 comentários

: +1: Quando escrevi este módulo, acabei de testar as tentativas de interface do usuário frontal.
isso pode ser uma boa adição para registrar tryes do xmlrpc. Você acha que poderia fazer um PR?

Saudações.

legalsylvain picture legalsylvain em 10 jan. 2018

Olá @lasley. Eu me permiti mudar o rótulo que você definiu. Acho que "bug" é mais apropriado porque o que @LeartS está falando torna este módulo inútil.

legalsylvain picture legalsylvain em 11 jan. 2018
👍2

A correção está em https://github.com/OCA/server-tools/pull/1219 , vamos continuar aí.

Yajo picture Yajo em 27 abr. 2018
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

naglis picture naglis  ·  3Comentários
lasley picture lasley  ·  7Comentários
lasley picture lasley  ·  15Comentários
MosabWadea picture MosabWadea  ·  5Comentários
kittiu picture kittiu  ·  5Comentários