[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [SPAM] - [Dolibarr-dev] Authentification dolibarr - Email found in s
|
From: |
Gael Canal |
|
Subject: |
Re: [SPAM] - [Dolibarr-dev] Authentification dolibarr - Email found in subject |
|
Date: |
Fri, 09 Dec 2005 22:31:49 +0100 |
Le vendredi 09 décembre 2005 à 20:17 +0100, Simon TOSSER a écrit :
> >
> Je prend en charge cette partie.
> Au niveau de la sécurité je pensais mettre en place les points suivants :
>
> Cryptage ou non des mots de passe dans la base de données (le cryptage
> peut ne pas fonctionner sur Windows avec Easyphp)
>
> Forçage ou pas du mode SSL, si l'on arrive en mode http possibilité de
> passer/forcer en https.
forcer oui, passer...non. (quitte à mettre un option distincte
force_https_login)
> Blocage d'un login si plus de 3 tentatives de connexionéchouées
je dirais : "punition" pas blocage. Une temporisation de 5 minutes
(parametrable) reconductible est largement suffisante.
de plus, un blocage par erreur est toujours possible et risquerait :
- de bloquer des utilisateurs proxy -> attaque par déni de service
- de saouler un administrateur qui du coup désactiverait la fonction ->
effet inverse de celui recherché
> Blocage d'une @ IP si plus de 3 échec de connexion sur 3 logins différents
je dirai non.
> Le tout paramètrable dans l'administration de dolibarr.
la : oui, bien sur.
> Si quelq'un à d'autres idée faites moi signe.
oui : j'ai déjà codé une telle chose, donc je peux reprendre le code en
et en 30 minutes c'est adapté... en revanche, je ne suis pas expert en
dolibarr, et donc je bénéficierai bien de ton expérience pour la gestion
du paramêtrage etc... on peut se faire ça ensemble ?
++
Gael