Brutal Force Attack: Bloccare l’accesso web dopo n tentativi

TIPS ADMIN

  • 7 commenti
Una tra le funzioni che effettivamente sono mancanti in domino è la possibilità da web di bloccare i tentativi di accesso dopo una serie di inserimenti errati. La mancanza di questo controllo da parte del motore HTTP espone le applicazioni a potenziali attacchi di tipo "Brutal Force". Tali attacchi prevedono la generazione di un alto numero di sessioni sulla maschera di autenticazione per scovare nome e password validi al accesso. In realtà L'HTTP ha dei controlli per limitare un numero di sessioni contmporanee e quindi limitare in qualche modo il numero di tentativi permessi, ma non ha il blocco dei tentantivi.

Se quindi volete abilitare un controllo ad esempio che limiti a 3 i tentativi e poi presenti una maschera di avvertimento come da immagine potete utilizzare questa DSAPI : DSAPI Demo-Customized Authentication

Questa DSAPI già funzionante e testata su R7 Beta4 permette al Terzo tentativo di accesso in autenticazione su protocollo HTTP e HTTPS di essere ridirezionati ad una pagina come questa:


Image:Brutal Force Attack: Bloccare l´accesso web dopo n tentativi







Si tratta di una versione Demo ma funzionante.

_______________________________________________________________________________


Note: la disapi va attivata nel documento del server e riavviato il task HTTP


Image:Brutal Force Attack: Bloccare l´accesso web dopo n tentativi

7 Commenti:

  • #1 Claudio 09/13/2005 11:52:39 PM

    perfetto ci teniamo a sapere un tuo responso...

  • #2 gauzo 09/07/2005 7:08:16 PM

    tieni conto che gira solo alla login, non ai successivi accessi... se non si fa scadere il cookie ogni 5 minuti dovrebbe essere ok...

    cmq lo implementero' in test su un'applicazione intranet con una media di 50 utenti collegati simultaneamente entro l'autunno...

    vi faro' sapere :)

  • #3 Claudio 09/06/2005 6:40:08 PM

    interessante.. ma mi fa un pò paura pensare ad un agente che elabora tutte queste richieste HTTP (impatto sulle performance....).... hai provato ad implementare una soluzione simile?

  • #4 gauzo 09/06/2005 6:26:19 PM

    C'e' un bell'articolo a riguardo sull'ultimo numero di THEVIEW (con db di esempio scaricabile dal sito { Link })

    In pratica occorre personalizzare il db DOMCFG.nsf (occorre avere attiva l'autenticazione basata sulla session)

    il form standard di login viene rediretto su un altro form, in un altro db, che al query save solleva un agente che implementa logiche di filtro applicativo PRIMA di redirigere la login al server Domino.

    Proprio per questo motivo, la login puo' anche essere rediretta a server applicativi diversi da Domino, divenendo un punto di Single Sign On.

  • #5 Claudio 09/02/2005 6:06:09 PM

    ...

  • #6 Claudio 08/31/2005 9:35:04 AM

    Si in effetti resta il probelma del SSO che generalmente viene interrotto e sicuramente bisognerebbe fare il porting su altre piattaforme.... ma non ho capito cosa intendi per ottenere un risultato simile per mezzo di agenti....

  • #7 gauzo 08/31/2005 9:21:44 AM

    Penso che queste soluzioni basate su DLL (C API o DSAPI) siano performanti ma difficilmente cross piattaforma.

    A scapito delle prestazioni, puo' essere preferibile utilizzare una soluzione basata su agenti tramite l'HTTP config.

Commenta articolo
 

Questo spazio web è stato creato da per un uso pubblico e gratuito. Qualsiasi tipo di collaborazione sarà ben accetta.
Per maggiori informazioni, scrivete a info@dominopoint.it

About Dominopoint
Social
Dominopoint social presence: