Una tra le funzioni che effettivamente sono
mancanti in domino è la possibilità da web di bloccare i tentativi di accesso
dopo una serie di inserimenti errati. La mancanza di questo controllo da
parte del motore HTTP espone le applicazioni a potenziali attacchi di tipo
"Brutal Force". Tali attacchi prevedono la generazione di un
alto numero di sessioni sulla maschera di autenticazione per scovare nome
e password validi al accesso. In realtà L'HTTP ha dei controlli per limitare
un numero di sessioni contmporanee e quindi limitare in qualche modo il
numero di tentativi permessi, ma non ha il blocco dei tentantivi.
Se quindi volete abilitare un controllo ad esempio che limiti a 3 i tentativi
e poi presenti una maschera di avvertimento come da immagine potete utilizzare
questa DSAPI :
DSAPI
Demo-Customized Authentication
Questa DSAPI già funzionante e testata su R7 Beta4 permette al Terzo tentativo
di accesso in autenticazione su protocollo HTTP e HTTPS di essere ridirezionati
ad una pagina come questa:
Si tratta di una versione Demo ma funzionante.
_______________________________________________________________________________
Note: la disapi va attivata nel documento del server e riavviato il task
HTTP
7 Commenti:
perfetto ci teniamo a sapere un tuo responso...
tieni conto che gira solo alla login, non ai successivi accessi... se non si fa scadere il cookie ogni 5 minuti dovrebbe essere ok...
cmq lo implementero' in test su un'applicazione intranet con una media di 50 utenti collegati simultaneamente entro l'autunno...
vi faro' sapere :)
interessante.. ma mi fa un pò paura pensare ad un agente che elabora tutte queste richieste HTTP (impatto sulle performance....).... hai provato ad implementare una soluzione simile?
C'e' un bell'articolo a riguardo sull'ultimo numero di THEVIEW (con db di esempio scaricabile dal sito { Link })
In pratica occorre personalizzare il db DOMCFG.nsf (occorre avere attiva l'autenticazione basata sulla session)
il form standard di login viene rediretto su un altro form, in un altro db, che al query save solleva un agente che implementa logiche di filtro applicativo PRIMA di redirigere la login al server Domino.
Proprio per questo motivo, la login puo' anche essere rediretta a server applicativi diversi da Domino, divenendo un punto di Single Sign On.
...
Si in effetti resta il probelma del SSO che generalmente viene interrotto e sicuramente bisognerebbe fare il porting su altre piattaforme.... ma non ho capito cosa intendi per ottenere un risultato simile per mezzo di agenti....
Penso che queste soluzioni basate su DLL (C API o DSAPI) siano performanti ma difficilmente cross piattaforma.
A scapito delle prestazioni, puo' essere preferibile utilizzare una soluzione basata su agenti tramite l'HTTP config.