Evolution compte privé: limitation du stockage des IPs dans le scanner et anti brute force php d'identification PHP Maximus CMS

septembre 30 2009

Evolution compte privé: limitation du stockage des IPs dans le scanner et anti brute force php d'identification

Tags Tags evolution anti-brute-force ip scanner

Pose d'un contrôle de limitation de l'usage de la table _users_scanner et blocage des attaques de type brute force

Une nouvelle évolution du cms point son nez :)
Cette fois ci le pack comprend un additif et un correctif.
Un script anti brute force php a été intégré dans le module YAT ( Your Account ) visant à limiter les tentatives infructueuses et par là même empêcher les tentatives d'accès illicites à un compte par une attaque bien célèbrement connue: l'attaque par dictionnaire !

Le second point permet de limiter la taille de la table xxx_users_scanner ...

Effectivement tout comme moi, vous avez pu peut être constater que la table xxx_scanner devenait excessivement grosse pour ne pas dire énorme :(

Cette nouvelle évolution, va permettre de limiter à 50 le nombre d'adresse IPs stockée en base de données par utilisateur, ceci va réduire très fortement le nombre d'entrées dans votre table xxx_users_scanner ce qui ne sera pas un mal ( le sujet a d'ailleurs été évoqué sur les forums ).

L'installation du pack n'est en rien compliqué, il vous suffira d'uploader le contenu du pack.

Je vous recommande chaudement de vider la table xxx_users_scanner via par exemple phpmyadmin, ou via mysqltap ( l'utilitaire de gestion de bases de données intégré dans l'administration de maximus ).

A noter que si vous désirez enlever le message d'alerte vous avertissant ( ainsi que vos utilisateurs ) que l'adresse ip à changée depuis la dernière connexion, ceci est très simple:

ouvrez le fichier header.php
commentez les lignes 234 à 236 ou supprimez les du fichier

[Edit]
J'ai omis le lien vers la page des évolutions pour le téléchargement :)

Pour tout complément, n'hésitez pas à consulter le wiki ou les forums
Bonne fin de journée

Signaler une erreur

Commentaires

5 commentaires

1. Le mercredi 30 septembre 2009 à 18:44:39 par Toumilovitch

50 IP par user. Petit calcul, j'ai 4000 membres ce qui nous fait 200 000 entrées au maxi... Pas possible de limiter à 2 IP ?

2. Le jeudi 01 octobre 2009 à 01:28:23 par Toumilovitch

est-il possible de modifier les 3 "50" lignes 71 et 72 pour mettre la valeur qu'on veut ?

3. Le jeudi 01 octobre 2009 à 13:11:08 par Cyril

Oui c'est très simple !
avec maximus y'a qu'à :)

ouvre le fichier modules/Your_Account/public/userinfo.php

Ligne 71 tu trouveras cec
i > 50

remplace le par ceci

> 2

Ligne 72 tu trouveras ceci

DESC LIMIT 50, 50

remplace le par ceci:

DESC LIMIT 2, 2

Sinon 2 me parait un peu léger, 4000 membres ok mais tes 4000 viennent ils réellement et régulièrement ? une petite dizaine me parait pas mal ?
Je tacherai de rajouter une fonction purge dans l'admin du yat pour l'avenir :)

4. Le jeudi 01 octobre 2009 à 19:19:20 par Toumilovitch

Ok merci.

Sinon, je te signale que tu a fait une erreur dans l'arborescence de ton pack. Il faut envoyer les fichiers dans le répertoire "public".

@++

5. Le jeudi 01 octobre 2009 à 21:03:51 par Toumilovitch

Bon voilà (avec Internet Explorer 8) :

Je cliques sur "COMMENTER CE BILLET" et j'ai une page blanche avec le header du site.
Dans la barre d'état, j'ai "Erreur sur le page". Je cliques pour voir l'erreur :

Objet requis
transition.js | Ligne 17 ; Caractère 15
Code 0
URI : http://www.php-maximus.org/kernel/js/transition.js