Re: [SPAM] - [Dolibarr-dev] Authentification dolibarr - Email found in subject

[Simon TOSSER]

Rodolphe Quiedeville wrote:

> Vianney ASSOFI [SQSI] wrote:
>  
>
> > hacker ! :D
> >    
>
> Ce n'est pas vraiment la définition d'un comportement de hacker qui est
> décrite par Gael ;-)
>
>  
>
> > ----- Original Message ----- From: "Gael Canal" <address@hidden>
> > To: "Mailing list Dolibarr dev" <address@hidden>
> > Sent: Friday, December 09, 2005 12:16 AM
> > Subject: [SPAM] - [Dolibarr-dev] Authentification dolibarr - Email found
> > in subject
> >
> >
> > Salut,
> >
> > En allant voir le site international, et en explorant rapidement la
> > démo, je me suis apercu qu'il n'y a pas de contre mesure aux tentatives
> > de login infructueuses.
> >
> > (pour être clair, on peut essayer 30000 mots de passes pour le compte
> > dolibarrint, que l'on peut identifier comme celui de l'admin)
> >
> > Ne serait-il pas interessant/utile de prévoir une telle fonctionnalité
> > pour éviter les attaques par force brute ?
> >    
>
> Effectivement c'est une fonctionnalité intéressante à mettre en place,
> peux-tu l'ajouter à la liste des tâches ?
>
> Cordialement
>  
Je prend en charge cette partie.
Au niveau de la sécurité je pensais mettre en place les points suivants :

Cryptage ou non des mots de passe dans la base de données (le cryptage 
peut ne pas fonctionner sur Windows avec Easyphp)

Forçage ou pas du mode SSL, si l'on arrive en mode http possibilité de 
passer/forcer en https.

Blocage d'un login si plus de 3 tentatives de connexionéchouées
Blocage d'une @ IP si plus de 3 échec de connexion sur 3 logins différents

Le tout paramètrable dans l'administration de dolibarr.

Si quelq'un à d'autres idée faites moi signe.

@+

Simon

>  
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Dolibarr-dev mailing list
> address@hidden
> http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
>