> 管理機能 > 簡易ブルートフォースアタック対策 |
管理機能
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | 下へ |
投稿者 | スレッド |
---|---|
shutta |
投稿日時: 2012/4/20 19:51
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
簡易ブルートフォースアタック対策 ちょっと皆さんの意見が聞いてみたくて投稿します。
今、簡易ブルートフォースアタック対策を追加しようと考えています。 内容としては、ログイン失敗した際(フロント、管理画面とも)にX秒待たせるという簡易な対策です。 このX秒をmtb_constantsに持たせて設定変更可能なのように考えています。 そこで、下記2点ご意見頂ければと思います。 ・デフォルトの待ち時間は何秒が適切か? 個人的には2秒くらいを設定しておくのはどうかと思っています。 このあたりの感覚は絶対的なものが無いかと思うので、皆さんのご意見を聞いてみたいです。 もしくは、デフォルトではこの待ち時間が有効にならないように0に設定すべきだという意見もアリだと思います。 ・mtb_constantsの追加位置(番号)はどこが適切か? パラメーターを追加するにあたって、mtb_constantsの挿入位置(rank)はどこが適切か迷っています。 連番であれば素直に最後に追加すれば良いのですが、パラメーターの関連性で番号が分類されている感がなんとなく見え隠れします。 この番号(rank)あたりに何か規約・方針があれば良いのですが、 どうもなさそうなのでこちらもご意見伺えればと思います。 追記: そもそもこんな機能いらないよってのもアリです。 奇譚の無いご意見お待ちしております。
|
tao_s |
投稿日時: 2012/4/20 21:25
対応状況: −−−
|
仙人 登録日: 2008/8/20 居住地: 東京 投稿: 796 |
Re: 簡易ブルートフォースアタック対策 単純な2秒とかではなく、倍率にしたらどうでしょうか?
1.7とかに設定して、 1回間違えただけなら2秒待ち 2回目は3.4秒 3回目は6.2秒 .... な感じです。
|
tanaca |
投稿日時: 2012/4/20 22:06
対応状況: −−−
|
仙人 登録日: 2010/11/28 居住地: 福岡県 投稿: 332 |
Re: 簡易ブルートフォースアタック対策 待ち時間0秒で5回連続して間違うと1時間待ちとかどうでしょうか。
本題から外れますが、mtb_constantsの追加位置についてパラメータ設定画面を眺めていたら、「ID_MIN_LEN」の説明文が「管理画面用:ID・パスワードの文字数制限」と表記されていましたが、正しくは「管理画面用:ID・パスワードの最少文字数」ではないのかな。 (ver2.11.5で確認)
|
shutta |
投稿日時: 2012/4/24 15:48
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 簡易ブルートフォースアタック対策 tao_sさん、tanacaさん、ご意見ありがとうございます。
お二人のような対策をしようとしますと、接続元IPアドレス毎にログインの失敗を記録等しないと実現できないかと思います。 私が想定しているのは、本当に簡易な対策で物足りないかもしれませんが、少ない工数ながらもある程度の効果が期待できるのではと思い付いた次第です。 あまり大掛かりになるのは本意ではないですし、プロキシ等を利用している環境等であれば、一人が連続して間違ってしまった場合に、同じ環境の他の人に迷惑が掛かる恐れもあり、弊害を生じるんでは無いかと危惧もあります。 できれば、当初の想定通りの簡易な対策で実装できればと思うのですが、どうでしょうか?
|
shutta |
投稿日時: 2012/4/24 16:05
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 簡易ブルートフォースアタック対策 引用:
フロント画面用のパスワードに関しては、
のようになっているので、 ご指摘のID_MIN_LEN、およびID_MAX_LENを、それぞれ 最小文字数、最大文字数のように説明文を変えた方がよさそうですね。 とりあえず、改善提案として、以下のチケットを登録しておきました。 チケット #1769 ID_MIN_LEN、ID_MAX_LENパラメーターの説明文を修正 http://svn.ec-cube.net/open_trac/ticket/1769
|
tanaca |
投稿日時: 2012/4/24 16:07
対応状況: −−−
|
仙人 登録日: 2010/11/28 居住地: 福岡県 投稿: 332 |
Re: 簡易ブルートフォースアタック対策 shuttaさん
>お二人のような対策をしようとしますと、接続元IPアドレス毎にログインの失敗を記録等しないと実現できないかと思います。 おっしゃるとおりですね。 2秒〜3秒あたりが妥当だと思います。 パラメーターを追加する場所に関しては根拠はありませんが、一番下で良さそうに思います。
|
tanaca |
投稿日時: 2012/4/24 16:10
対応状況: −−−
|
仙人 登録日: 2010/11/28 居住地: 福岡県 投稿: 332 |
Re: 簡易ブルートフォースアタック対策 shutta さん
引用:
早速、対応いただきありがとうございます!
|
shutta |
投稿日時: 2012/4/25 10:23
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 簡易ブルートフォースアタック対策 引用:
下記チェンジセットをコミットしておきました。 http://svn.ec-cube.net/open_trac/changeset/21777 次期バージョン(2.12.0)に取り込まれれば、修正されると思います。
|
shutta |
投稿日時: 2012/4/26 19:23
対応状況: −−−
|
仙人 登録日: 2010/2/4 居住地: 関西 投稿: 835 |
Re: 簡易ブルートフォースアタック対策 引用:
tao_sさん、tanacaさん、ご意見有難うございました。 とりあえず、デフォルトでは遅延時間は2秒、パラメーターは一番最後に少し番号を飛ばして追加しておきました。 チケット#1779 簡易ブルートフォースアタック対策 http://svn.ec-cube.net/open_trac/ticket/1779 とりあえずコミットしておけば、デフォルト値や追加場所等に都合が悪くないかより多くの方にチェックして頂けるかな、と期待しておきます。
|
スレッド表示 | 新しいものから | 前のトピック | 次のトピック | トップ |