koweq | 2019-10-30 12:48:08 UTC | #1
Z tego co zauważyłem w panelu v2 nie ma ochrony przed bruteforcami.
Może trzeba by było coś takiego wprowadzić? Np. po 10 nieudanych logowaniach czasowo blokuje ip czy coś :P.
DoreK | 2017-02-24 10:55:22 UTC | #2
Blokowanie na IP to dość głupie rozwiązanie jeśli korzysta się z proxy/vpn albo i internetu mobilnego.
DBanaszewski | 2017-02-24 11:01:28 UTC | #3
Ja korzystam z VPN, aby połączyć się z panelem v3. W panelu Multicraft (taki panel, który można sobie kupić) jest taka możliwość, lecz jest strasznie uciążliwa - mój kolega zapomniał hasła, a musiał szybko wejść do panelu i został zablokowany na parę minut :/ Moim zdaniem taka funkcja jest przydatna, lecz też są minusy ;)
Nieznajomy11 | 2017-02-24 11:03:19 UTC | #4
Najlepiej mieć aktywowany google authenticator, kiedy to już będzie dostępny :v
SystemZ | 2017-02-24 12:38:03 UTC | #5
W panelu v3 jest już zaimplementowany rate limiting który ogranicza liczbę żądań w danym czasie. Daje to przynajmniej minimalne zabezpieczenie dla tego typu sytuacji plus zmniejsza szansę na wyczerpanie się zasobów czyli niedostępność czy spowolnienia.
Wystarczy pospamować sporo F5 na https://demoapi.lvlup.pro/ aby zobaczyć to w akcji.
Zostaną dodane też bardziej restrykcyjne dodatkowe ograniczenia dla operacji typu próba logowania czy ilość zakładanych kont.
LinGruby | 2017-02-24 15:13:11 UTC | #6
@SystemZ po wejściu w link https://demoapi.lvlup.pro/ mam coś takiego to normalne?
{“endpoints”:{“\/v3\/me”:”Information about account”,”\/v3\/auth\/login”:”Get JWT token for auth”,”\/v3\/auth\/register”:”Register new account”,”\/v3\/auth\/time”:”Time on server, unix timestamp in seconds”,”\/v3\/vps”:”List of VPS on account”,”\/v3\/vps\/{id}”:”Live info about CPU, RAM etc.”,”\/v3\/ip”:”List of IP on account”,”\/v3\/ip\/ddos”:”List of attacks on IPs”}}
Tak ma to działać??
SystemZ | 2017-02-24 15:53:19 UTC | #7
Tak, wszystko jest spoko.
To lista linków w API choć dawno już jej nie aktualizowałem.
Pewnie dziwą Cię te \/ w przeglądarce. To kwestia escape’owania znaku / jak sądzę:
http://stackoverflow.com/questions/1580647/json-why-are-forward-slashes-escaped
SystemZ | 2019-12-20 16:21:11 UTC | #8
Panel v4 już też obsługuje podstawowy rate limiting:
https://forum.lvlup.pro/t/zmiany-techniczne-2019/9563/193?u=systemz
Zostały do wprowadzenia dodatkowe limity w czasie aby zamknąć ten wątek:
- limit nieudanych logowań dla danego konta użytkownika
- limit nieudanych logowań per adres IP / podsieć