Ochrona przed Bruteforcami - rate limiting

Tagi: #<Tag:0x00007f1394fd7c90>

Z tego co zauważyłem w panelu v2 nie ma ochrony przed bruteforcami.
Może trzeba by było coś takiego wprowadzić? Np. po 10 nieudanych logowaniach czasowo blokuje ip czy coś :P.

Blokowanie na IP to dość głupie rozwiązanie jeśli korzysta się z proxy/vpn albo i internetu mobilnego.

Ja korzystam z VPN, aby połączyć się z panelem v3. W panelu Multicraft (taki panel, który można sobie kupić) jest taka możliwość, lecz jest strasznie uciążliwa - mój kolega zapomniał hasła, a musiał szybko wejść do panelu i został zablokowany na parę minut :confused: Moim zdaniem taka funkcja jest przydatna, lecz też są minusy :wink:

Najlepiej mieć aktywowany google authenticator, kiedy to już będzie dostępny :v

2lajki

W panelu v3 jest już zaimplementowany rate limiting który ogranicza liczbę żądań w danym czasie. Daje to przynajmniej minimalne zabezpieczenie dla tego typu sytuacji plus zmniejsza szansę na wyczerpanie się zasobów czyli niedostępność czy spowolnienia.

Wystarczy pospamować sporo F5 na https://demoapi.lvlup.pro/ aby zobaczyć to w akcji.

Zostaną dodane też bardziej restrykcyjne dodatkowe ograniczenia dla operacji typu próba logowania czy ilość zakładanych kont.

@SystemZ po wejściu w link https://demoapi.lvlup.pro/ mam coś takiego to normalne?

{“endpoints”:{"/v3/me":“Information about account”,"/v3/auth/login":“Get JWT token for auth”,"/v3/auth/register":“Register new account”,"/v3/auth/time":“Time on server, unix timestamp in seconds”,"/v3/vps":“List of VPS on account”,"/v3/vps/{id}":“Live info about CPU, RAM etc.”,"/v3/ip":“List of IP on account”,"/v3/ip/ddos":“List of attacks on IPs”}}

Tak ma to działać??

Tak, wszystko jest spoko.
To lista linków w API choć dawno już jej nie aktualizowałem.
Pewnie dziwą Cię te \/ w przeglądarce. To kwestia escape’owania znaku / jak sądzę:

Panel v4 już też obsługuje podstawowy rate limiting:

Zostały do wprowadzenia dodatkowe limity w czasie aby zamknąć ten wątek:

  • limit nieudanych logowań dla danego konta użytkownika
  • limit nieudanych logowań per adres IP / podsieć
2lajki