[RESOLU] Débloquer la limitation de connexions

PPmarcelPPmarcel Member
juillet 2017 modifié dans Entraide
Bonjour,

Après plusieurs mots de passe infructueux à l'administration je me suis retrouvé bloqué pendant quelques minutes :

Nombre de tentative atteint
Réessayez dans 3 minutes

Est-il de faire sauter un lock pour se débloquer plus vite ?
Warning There was an error rendering this rich post.

Réponses

  • PierrePierre Member
    Il y a un paramètre dans admin/auth.php pour régler le temps d'attente. C'est déconseillé de mettre trop bas pour éviter les attaques "force brute" mais c'est un moyen d'accéder quand on est pressé...
  • bazooka07bazooka07 PluXml Lead Developer, Moderator
    juillet 2017 modifié
    Cette protection est complètement illusoire !
    Elle ne résiste pas aux kids le mercredi après-midi

    Quand le message "Nombre de tentative atteint..." s'affiche, rendez vous dans le menu de votre navigateur Firefox en haut et à droite, puis
    [list=*]
    [*]cliquez sur l'onglet "préférences"[/*]
    [*]à gauche, cliquez sur "vie privée" [/*]
    [*]à droite, cliquez sur le bouton "afficher les cookies"[/*]
    [*]recherchez les cookies pour votre site, par exemple monsite.com ou locahost[/*]
    [*]selectionnez le cookie de session "PHPSESSID" et supprimez le directement[/*]
    [*]fermez cette onglet dans Firefox[/*]
    [*]retournez vous identifier[/*]
    [*]reprenez une activité normale[/*]
    [/list]

    Il doit certainement exister la même chose avec Chrome mais celui-ci ne respecte pas ma vie privée.

    Il faut mieux sécuriser votre site avec un captcha.

    Accès à mon dépôt de plugins et thèmes
    installe PluXml plus vite que ton ombre avec kzInstall2

  • PierrePierre Member
    On n'est pas à Fort Knox, j'en conviens.

    Mais on s'entend que d'aller dans un fichier et de changer le petit 3 pour un 10 ou encore réduire les minutes de 60 à 15, c'est pas mal moins compliqué. On le fait une fois et c'est terminé pour la vie.
  • bazooka07bazooka07 PluXml Lead Developer, Moderator
    juillet 2017 modifié
    Chacun son choix.
    Moi je n'attends pas. Les hackers non plus ;)

    Accès à mon dépôt de plugins et thèmes
    installe PluXml plus vite que ton ombre avec kzInstall2

  • PPmarcelPPmarcel Member
    juillet 2017 modifié
    L'effacement de cookie de session... C'est tout ce qu'il me fallait. Merci. :)

    Je garderai les 3 minutes dans l'interface pour la forme, c'est juste que bossant sur le site c'est un peu gênant de rester bloqué à la porte.

    Après c'est sûr qu'on peut y venir à bout avec brut-force à la curl qui ne conserve aucun cookie. Mais tout est cassable si on y met le temps et les moyen.
    Tout est une question de ratio "temps passé" / "intéret".
    Warning There was an error rendering this rich post.
  • bazooka07bazooka07 PluXml Lead Developer, Moderator
    juillet 2017 modifié
    Curl, comme wget savent gérer les cookies. Mais il faut leur demander.
    La force brute est peu efficace avec un mot de passe qui contient beaucoup de caractères (une vingtaine), mélangeant minuscules, majuscules et symboles.
    Il vaut mieux ruser en observant ce qui se passe. Il ne suffit pas de regarder seulement ce qui s'affiche à l'écran, il faut regarer les entêtes échangés entre serveur et clients.
    Un outil comme l'inspecteur de Firefox (onglet réseau) est bien utile pour cela.

    Cela démontre que la protection par cette temporisation est illusoire.
    On ne stocke pas une information chez le client qu'il peut manipuler à sa guise.
    Elle doit être stockée sur le serveur, comme le fait par exemple Github quand on utilise ses APIs.

    Accès à mon dépôt de plugins et thèmes
    installe PluXml plus vite que ton ombre avec kzInstall2

Connectez-vous ou Inscrivez-vous pour répondre.