Bonjour,
Je me posais la question de la sûreté du portail.
Est-il sécurisé contre une attaque brute-force ?
Merci.
Oui, y’a un service (fail2ban) qui bloque les tentatives de brute-force. D’expérience, il te laisse essayer, mais même la bonne combinaison identifiant+mot de passe renvoie une erreur de connexion.
1 Like
D’accord, merci pour l’info qui me rassure.
Quelle est l’utilité de laisser l’attaque se faire? Est-ce voulu par les devs Yunohost?
Ben on ne laisse pas l’attaque se faire puisqu’au bout de 3 essai on empéche l’utilisateur de se connecter pendant x temps.
Pour ce qui est du comportement de ne pas indiquer le banissement, je ne sais pas trop si c’est voulu. D’un côté ça complexifie la tache de celui qui attaque qui peut penser que son attaque fonctionne alors que pas du tout, mais honettement je pense qu’il peut s’en rendre compte quand même. Par contre, les utilisateurs sont plutôt perdu quand il y a ce soucis, justement parce que ce n’est pas expliqué.