Sebsauvage, le 07/08/2013 à 18:37
J'ai ajouté mon système de bannissement d'adresse IP au système de login de Codiad. Trop d'essais avec le mauvais mot de passe, et l'adresse IP est bannie pendant 30 minutes. C'est suffisant pour bloquer les attaques de type brute-force. C'est très facile à ajouter, ça m'a pris 2 minutes, et ce genre de manipulation peut se faire sur pratiquement n'importe quelle appli web sans trop de difficultés. Il suffit de localiser l'endroit du code qui vérifie la validité du mot de passe.
Voilà comment procéder pour Codiad: J'ai mis mon petit "ban.php" dans le répertoire /component/user/ de Codiad:
http://sebsauvage.net/paste/?7d32a7e48aeefb0f#5gIhzFvURzmZze+XpLVr66T+FBAd5z4u+0t5rtuSBYc=
puis j'ai modifié class.user.php. Voici le diff:
http://sebsauvage.net/paste/?444102b53288a3a6#QC80ccMjOCpJJCWl7J9f93RoKzoWsAASOhqLPRNNtVk=
Vous voyez, il n'y a vraiment pas grand chose à changer: 2 lignes à ajouter, et 2 lignes à modifier, et voilà un formulaire de login protégé contre le brute-force. :-)
La petite subtilité ici, sur la manière dont je l'ai intégré, c'est que le pirate ne pourra pas faire la différence entre un bannissement et un mot de passe incorrecte: S'il est banni, on continuera à lui répondre que le mot de passe est incorrecte, même s'il est bon. Gniark gniark. (◠‿◠)
(
Permalink)
la vache libre, le 07/08/2013 à 20:02
Excellent l'absence de message de ban :)
Ps : oui disqus c'est de la m... et quand je change de template (je galère à ce niveau là), je le vire. Promis juré!
(
Permalink)
Sammy Fisher Jr, le 08/08/2013 à 09:10
Le système de ban de Sebsauvage.
(
Permalink)
hoa, le 08/08/2013 à 17:55
Appliqué sur mon instance Codiad et approuvé ! Merci Seb. :)
(
Permalink)
Tiger-222, le 09/08/2013 à 17:04
C'est dans la poche, dorénavant, je mettrai ce système en place sur tous mes futurs projets. Cimer Séb !
(
Permalink)