|
From: | Simon TOSSER |
Subject: | Re: [SPAM] - [Dolibarr-dev] Authentification dolibarr - Email found in subject |
Date: | Fri, 09 Dec 2005 20:17:08 +0100 |
User-agent: | Mozilla Thunderbird 1.0.7 (X11/20051026) |
Rodolphe Quiedeville wrote:
Vianney ASSOFI [SQSI] wrote:hacker ! :DCe n'est pas vraiment la définition d'un comportement de hacker qui est décrite par Gael ;-)----- Original Message ----- From: "Gael Canal" <address@hidden> To: "Mailing list Dolibarr dev" <address@hidden> Sent: Friday, December 09, 2005 12:16 AM Subject: [SPAM] - [Dolibarr-dev] Authentification dolibarr - Email found in subject Salut, En allant voir le site international, et en explorant rapidement la démo, je me suis apercu qu'il n'y a pas de contre mesure aux tentatives de login infructueuses. (pour être clair, on peut essayer 30000 mots de passes pour le compte dolibarrint, que l'on peut identifier comme celui de l'admin) Ne serait-il pas interessant/utile de prévoir une telle fonctionnalité pour éviter les attaques par force brute ?Effectivement c'est une fonctionnalité intéressante à mettre en place, peux-tu l'ajouter à la liste des tâches ? Cordialement
Je prend en charge cette partie. Au niveau de la sécurité je pensais mettre en place les points suivants :Cryptage ou non des mots de passe dans la base de données (le cryptage peut ne pas fonctionner sur Windows avec Easyphp)
Forçage ou pas du mode SSL, si l'on arrive en mode http possibilité de passer/forcer en https.
Blocage d'un login si plus de 3 tentatives de connexionéchouées Blocage d'une @ IP si plus de 3 échec de connexion sur 3 logins différents Le tout paramètrable dans l'administration de dolibarr. Si quelq'un à d'autres idée faites moi signe. @+ Simon
------------------------------------------------------------------------ _______________________________________________ Dolibarr-dev mailing list address@hidden http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
[Prev in Thread] | Current Thread | [Next in Thread] |