バージョン選択

フォーラム

メニュー

オンライン状況

16 人のユーザが現在オンラインです。 (9 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 16
もっと...

サイト内検索

 > 管理機能 > 簡易ブルートフォースアタック対策

管理機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
shutta
投稿日時: 2012/4/20 19:51
対応状況: −−−
仙人
登録日: 2010/2/4
居住地: 関西
投稿: 835
簡易ブルートフォースアタック対策
ちょっと皆さんの意見が聞いてみたくて投稿します。

今、簡易ブルートフォースアタック対策を追加しようと考えています。

内容としては、ログイン失敗した際(フロント、管理画面とも)にX秒待たせるという簡易な対策です。

このX秒をmtb_constantsに持たせて設定変更可能なのように考えています。

そこで、下記2点ご意見頂ければと思います。

・デフォルトの待ち時間は何秒が適切か?

個人的には2秒くらいを設定しておくのはどうかと思っています。
このあたりの感覚は絶対的なものが無いかと思うので、皆さんのご意見を聞いてみたいです。

もしくは、デフォルトではこの待ち時間が有効にならないように0に設定すべきだという意見もアリだと思います。

・mtb_constantsの追加位置(番号)はどこが適切か?

パラメーターを追加するにあたって、mtb_constantsの挿入位置(rank)はどこが適切か迷っています。
連番であれば素直に最後に追加すれば良いのですが、パラメーターの関連性で番号が分類されている感がなんとなく見え隠れします。
この番号(rank)あたりに何か規約・方針があれば良いのですが、
どうもなさそうなのでこちらもご意見伺えればと思います。


追記:

そもそもこんな機能いらないよってのもアリです。
奇譚の無いご意見お待ちしております。


----------------

リゾート会員権(エクシブ等)の売買・仲介

tao_s
投稿日時: 2012/4/20 21:25
対応状況: −−−
仙人
登録日: 2008/8/20
居住地: 東京
投稿: 793
Re: 簡易ブルートフォースアタック対策
単純な2秒とかではなく、倍率にしたらどうでしょうか?
1.7とかに設定して、
1回間違えただけなら2秒待ち
2回目は3.4秒
3回目は6.2秒
....

な感じです。


----------------
EC-CUBEカスタマイズ相談してください。
緊急のEC-CUBEの障害対応
EC-CUBEカスタマイズブログ

tanaca
投稿日時: 2012/4/20 22:06
対応状況: −−−
仙人
登録日: 2010/11/28
居住地: 福岡県
投稿: 332
Re: 簡易ブルートフォースアタック対策
待ち時間0秒で5回連続して間違うと1時間待ちとかどうでしょうか。

本題から外れますが、mtb_constantsの追加位置についてパラメータ設定画面を眺めていたら、「ID_MIN_LEN」の説明文が「管理画面用:ID・パスワードの文字数制限」と表記されていましたが、正しくは「管理画面用:ID・パスワードの最少文字数」ではないのかな。
(ver2.11.5で確認)


----------------
他社システムからEC-CUBEへの移行などお気軽にご相談ください。
福岡のホームページ制作会社 ECカンパニー
担当:田中利宏

shutta
投稿日時: 2012/4/24 15:48
対応状況: −−−
仙人
登録日: 2010/2/4
居住地: 関西
投稿: 835
Re: 簡易ブルートフォースアタック対策
tao_sさん、tanacaさん、ご意見ありがとうございます。

お二人のような対策をしようとしますと、接続元IPアドレス毎にログインの失敗を記録等しないと実現できないかと思います。

私が想定しているのは、本当に簡易な対策で物足りないかもしれませんが、少ない工数ながらもある程度の効果が期待できるのではと思い付いた次第です。

あまり大掛かりになるのは本意ではないですし、プロキシ等を利用している環境等であれば、一人が連続して間違ってしまった場合に、同じ環境の他の人に迷惑が掛かる恐れもあり、弊害を生じるんでは無いかと危惧もあります。

できれば、当初の想定通りの簡易な対策で実装できればと思うのですが、どうでしょうか?


----------------

リゾート会員権(エクシブ等)の売買・仲介

shutta
投稿日時: 2012/4/24 16:05
対応状況: −−−
仙人
登録日: 2010/2/4
居住地: 関西
投稿: 835
Re: 簡易ブルートフォースアタック対策
引用:

本題から外れますが、mtb_constantsの追加位置についてパラメータ設定画面を眺めていたら、「ID_MIN_LEN」の説明文が「管理画面用:ID・パスワードの文字数制限」と表記されていましたが、正しくは「管理画面用:ID・パスワードの最少文字数」ではないのかな。
(ver2.11.5で確認)


フロント画面用のパスワードに関しては、


/** フロント画面用:パスワードの最小文字数 */
define('PASSWORD_MIN_LEN', 4);
/** フロント画面用:パスワードの最大文字数 */
define('PASSWORD_MAX_LEN', STEXT_LEN);

のようになっているので、
ご指摘のID_MIN_LEN、およびID_MAX_LENを、それぞれ
最小文字数、最大文字数のように説明文を変えた方がよさそうですね。

とりあえず、改善提案として、以下のチケットを登録しておきました。

チケット #1769 ID_MIN_LEN、ID_MAX_LENパラメーターの説明文を修正
http://svn.ec-cube.net/open_trac/ticket/1769


----------------

リゾート会員権(エクシブ等)の売買・仲介

tanaca
投稿日時: 2012/4/24 16:07
対応状況: −−−
仙人
登録日: 2010/11/28
居住地: 福岡県
投稿: 332
Re: 簡易ブルートフォースアタック対策
shuttaさん

>お二人のような対策をしようとしますと、接続元IPアドレス毎にログインの失敗を記録等しないと実現できないかと思います。

おっしゃるとおりですね。
2秒〜3秒あたりが妥当だと思います。

パラメーターを追加する場所に関しては根拠はありませんが、一番下で良さそうに思います。


----------------
他社システムからEC-CUBEへの移行などお気軽にご相談ください。
福岡のホームページ制作会社 ECカンパニー
担当:田中利宏

tanaca
投稿日時: 2012/4/24 16:10
対応状況: −−−
仙人
登録日: 2010/11/28
居住地: 福岡県
投稿: 332
Re: 簡易ブルートフォースアタック対策
shutta さん
引用:

とりあえず、改善提案として、以下のチケットを登録しておきました。

チケット #1769 ID_MIN_LEN、ID_MAX_LENパラメーターの説明文を修正
http://svn.ec-cube.net/open_trac/ticket/1769

早速、対応いただきありがとうございます!


----------------
他社システムからEC-CUBEへの移行などお気軽にご相談ください。
福岡のホームページ制作会社 ECカンパニー
担当:田中利宏

shutta
投稿日時: 2012/4/25 10:23
対応状況: −−−
仙人
登録日: 2010/2/4
居住地: 関西
投稿: 835
Re: 簡易ブルートフォースアタック対策
引用:

tanacaさんは書きました:
shutta さん
引用:

とりあえず、改善提案として、以下のチケットを登録しておきました。

チケット #1769 ID_MIN_LEN、ID_MAX_LENパラメーターの説明文を修正
http://svn.ec-cube.net/open_trac/ticket/1769

早速、対応いただきありがとうございます!


下記チェンジセットをコミットしておきました。

http://svn.ec-cube.net/open_trac/changeset/21777

次期バージョン(2.12.0)に取り込まれれば、修正されると思います。


----------------

リゾート会員権(エクシブ等)の売買・仲介

shutta
投稿日時: 2012/4/26 19:23
対応状況: −−−
仙人
登録日: 2010/2/4
居住地: 関西
投稿: 835
Re: 簡易ブルートフォースアタック対策
引用:

tanacaさんは書きました:

>お二人のような対策をしようとしますと、接続元IPアドレス毎にログインの失敗を記録等しないと実現できないかと思います。

おっしゃるとおりですね。
2秒〜3秒あたりが妥当だと思います。

パラメーターを追加する場所に関しては根拠はありませんが、一番下で良さそうに思います。


tao_sさん、tanacaさん、ご意見有難うございました。

とりあえず、デフォルトでは遅延時間は2秒、パラメーターは一番最後に少し番号を飛ばして追加しておきました。

チケット#1779 簡易ブルートフォースアタック対策
http://svn.ec-cube.net/open_trac/ticket/1779

とりあえずコミットしておけば、デフォルト値や追加場所等に都合が悪くないかより多くの方にチェックして頂けるかな、と期待しておきます。


----------------

リゾート会員権(エクシブ等)の売買・仲介

スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBEペイメント

公式ストアEC-CUBE4系デザインテンプレート続々リリース中

統計情報

総メンバー数は73,080名です
総投稿数は102,130件です

投稿数ランキング

1
seasoft
7333
2
468
3078
3
AMUAMU
2712
4
nanasess
2180
5
umebius
2030
6
yuh
1612
7
red
1453
8
h_tanaka
1090
9
tsuji
936
10
fukap
907
11
shutta
835
12
tao_s
793
13 ramrun 789
14 karin 689
15 sumida 641
16
homan
633
17 DELIGHT 572
18
patapata
502
19
flealog
485
20 tonton 437


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.