FluxBB.fr
Le site des utilisateurs francophones de FluxBB.
Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages : 1
#1 12-04-2012 11:07:55
- barbuslex
- Membre
- Inscription : 05-06-2008
- Messages : 200
- Site Web
Anti bot brute force ?
Salut à tous,
J'ai une question qui me trotte dans la tête depuis un petit moment...
Alors voilà je vois les mod de CAPTCHA fleurir à foison mais seulement pour les inscriptions.
Par contre, que ce passe t il si un bot essai de brute forcer le compte d'un admin dans le login.php par exemple ?
Est ce qu'il y a un maximum de tentative ou autre de prévu (genre au bout de 5 tentatives sa bloque celui qui essai de se connecter) ?
Dans l'attente,
Cordialement,
Hors ligne
#2 12-04-2012 19:52:58
- Mpok
- Néo Admin
- Inscription : 10-08-2006
- Messages : 2 950
- Site Web
Re : Anti bot brute force ?
Salut,
Non, il n'y a pas de mécanisme comme cela car ce que tu décris n'existe pas. Vouloir essayer tous les mots de passe sur login.php est totalement illusoire… Même avec le meilleur serveur possible, le site plantera bien avant d'avoir fait une infime partie des tentatives (et ce sera alors plutôt une attaque DoS qu'une attaque "brute force").
Pour réaliser une "vraie" brute force, il faudrait DÉJÀ pouvoir avoir accès au mot de passe crypté (qui est dans la base données). Et là, oui, tu peux éventuellement pouvoir trouver le mot de passe en clair avec brute force (et encore… avec un BON algorithme, ce qui n'est pas évident à programmer, crois-moi 
), parce que tu n'as plus la lenteur de http qui te bloque.
Mais si l'attaquant a accès à la base de données (pour récupérer le cryptage), il n'a PROBABLEMENT plus besoin de deviner le mot de passe admin… 
Hors ligne
#3 13-04-2012 08:34:25
- barbuslex
- Membre
- Inscription : 05-06-2008
- Messages : 200
- Site Web
Re : Anti bot brute force ?
A ok,
Merci d'avoir répondu,
Mais j'ai vu des forum qui utilises au moment de la connection un genre de captcha qui détecte le clic dans une zone image pour valider le login mais je ne sais pas comment il s'appel....
Je crois que cette mod est : http://www.punres.org/viewtopic.php?id=3268
Mais je n'en suis pas sûre..
C'est vrai que la latence restreint pas mal de bot mais si le formulaire est reproduit en local avec pour action="Monsite/login.php" est ce que il n'y aurait pas moyen de subir un attaque dans ce cas ?
Dernière modification par barbuslex (13-04-2012 08:35:44)
Hors ligne
#4 13-04-2012 08:46:39
- WinuX
- Membre
- Inscription : 18-07-2010
- Messages : 390
Re : Anti bot brute force ?
Je tiens juste à préciser qu'on peut bypasser ce genre de captcha.
Je connais une personne qui y est arrivé sans trop de problème.
Tu peux limiter le nombre de tentative de mot de passe, mais ça reste compliqué.
Il faudrait enregistré un cookie et l'ip et vérifier que ca fait pas plus de x fois qu'il tente son coup.. Mais encore une fois, on peut passer outre, on pourra toujours passer outre 
Hors ligne
#5 13-04-2012 09:02:45
- barbuslex
- Membre
- Inscription : 05-06-2008
- Messages : 200
- Site Web
Re : Anti bot brute force ?
A moins de stocker les tentatives par IP en base de données.
Mais c'est vrai que c'est galère galère
Dernière modification par barbuslex (13-04-2012 09:03:00)
Hors ligne
Pages : 1