Wie können falsche Angaben im Login begrenzt werden?

4sale1 · #1 (**permalink**) 10.01.2008, 00:35

Wie eine Schnell-Check Überprüfung des Shop zeigte, ist die Anzahl falscher Eingaben beim Login nicht begrenzt. Dies kann ggf. dazu führen, dass wenn man eine Aktion gegen den Shop vornimmt und gewisse Zeit dafür investiert das Admin Passwort knacken kann.

Um Brute-Force Attacken auf das Login-Formular zu vermeiden, sollten Benutzer nach dem fünften nicht erfolgreichen Login automatisch für bspw. 20 Minuten ausgesperrt werden. Ist das nicht der Fall sollten zumindest folgende bekannte Standardpasswörter bei der Registrierung unterdrückt werde (Passwort; 12345678; ‚Benutzername’ ; ‚Shopname’)

Gibt es für xt:Commerce Version 3.04 SP 2.1 die Möglichkeit bei falschen Angaben die Eingaben im Login zu begrenzen?

tufti · #2 (**permalink**) 12.01.2008, 09:40

Gute Frage und gutes Thema. Mußte bei meinem Provider den Shop rausnehmen. Dieser hatte Sicherheitsbedenken. Habe nun selber einen Apache-Server und versuche diesen sicher zu machen. Im Error-Log von Apache erscheint nichts. Geht alles über login.php
Wenn dann kanns nur eine php-Lösung sein. Meine Idee wars mit fail2ban den Zugang nach Fehlversuchen zu unterbinden.

4sale1 · #3 (**permalink**) 27.01.2008, 12:33

Es wäre nett und sehr hilfreich, wenn seitens der Moderatoren eine kurze Reaktion auf die sicher nicht unwesentliche Frage erfolgen würde!

shd-media · #4 (**permalink**) 27.01.2008, 12:47

Hi,

das Problem ist bekannt. Es gibt bereits einen brute-force schutz. Einfach mal googlen oder PM schicken, dann bekommt ihr den Link...

xtc-beginner · #5 (**permalink**) 29.01.2008, 20:24

hättest du mir den link für den brute force schutz

mail: surf-andrea@gmx.de

Danke!!!

4sale1 · #6 (**permalink**) 29.01.2008, 23:12

Zitat:

Zitat von shd-media

Hi,

das Problem ist bekannt. Es gibt bereits einen brute-force schutz. Einfach mal googlen oder PM schicken, dann bekommt ihr den Link...

PM mit eMail-Adresse zwecks Übersendung ist an Dich/Euch raus!

Gruss 4sale1

4sale1 · #7 (**permalink**) 16.02.2008, 02:37

Zitat:

Zitat von 4sale1

PM mit eMail-Adresse zwecks Übersendung ist an Dich/Euch raus!

Gruss 4sale1

Hallo,

leider noch keine Rückmeldung trotzt eMail Mitteiling. Woran liegts?

4sale1 · #8 (**permalink**) 16.02.2008, 02:40

Zitat:

Zitat von shd-media

Hi,

das Problem ist bekannt. Es gibt bereits einen brute-force schutz. Einfach mal googlen oder PM schicken, dann bekommt ihr den Link...

Nur geplaudert oder könnt Ihr mir den Link noch zusenden?

eMail ist bereits zweimal an Euch raus. Woran liegt's? Würde mich über eine Reaktion freuen!

Gruss 4sale1

pizko · #9 (**permalink**) 16.02.2008, 11:31

Kann mir auch jemand den Link zukommen lassen? oder hier für alle veröffentlichen.. konnte bei google nichts finden.. thx for replay

c-ool · #10 (**permalink**) 10.03.2008, 15:36

ich habe eine einbauanleitung für einen bruteforce-schutz bei self-commerce (basiert auf der 3.0.4SP1) - allerdings weiß ich nicht ob das auch bei 304SP2.1 funzt .... wenn jemand Zeit hat das auszuprobieren kann er sich gerne bei mir melden - leite die anleitung dann weiter.
würde mich im gegenzug über feedback freuen (habe einfach keine zeit zum testen - fals es aber funzt würde ich es gerne selber auch einbauen)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Login Button durch Login Link ersetzen	FlinkeHelfer	Template System	12	03.08.2007 15:45
Login nur mit Benutzername	ascc	Shopbereich	1	25.06.2007 14:10
KELKOO - EILT	Stefan_w	Allgemeine Diskussionen	0	09.12.2005 17:10