2022/10/03 04:26 JST

Geeklog Japan Forums

custummenu プラグインの "ログイン" と login_attempts


状態: オフライン

marphy

Forum User
Newbie
登録日: 2008/10/22
投稿数: 9
marphy といいます。 ヘルプによると ■ログイン試行回数制限 (login_attempts) デフォルト 3 下記のログイン試行間隔制限が発動してログインが一時的に不可能になるまでの ログイン試行回数の最大値。 ■ログイン試行間隔制限 (login_speedlimit) デフォルト 300(秒) 上記のログイン試行回数の制限を超えてログインに失敗した場合、次にログインが 可能になるまでの待ち時間。 というパラメータがあります。素の geeklog のログイン方法、つまり、ブロックにある ログインフォームに ID とパスワードをいれ、もし認証に失敗したら、失敗回数カウン ターを 1 増やして http://{GEEKLOG_URL_BASE}/users.php にリダイレクト、このページにあるフォームに再度入力を諭す、という画面推移は納得 できます。失敗回数カウンターが login_attempts を超えたら、login_speedlimit 秒だけ リダイレクト拒否すれば、DoS 攻撃的なものを排除するひとつの方法となりえますか らね。 一方、custummenu プラグインを導入すると現れる "ログイン" の意図は、 「ユーザID とパスワードの入力フォームへ移動する」だと思います。実際、リンクを クリックすると http://{GEEKLOG_URL_BASE}/users.php?mode=login に移動します。 昨日あたりから custummenu プラグインを試しているのですが、どうも custummenu で表示される "ログイン" のリンクをクリックしただけで失敗回数カウンターが増えて しまっているようです。 今、うちのサイトでは login_attempts が 10 なのですが、"ログイン" のリンクを何回も クリックしていると 10 回目で ------ ログインできませんでした ログイン試行回数を超えてしまいましたので、後ほどまたログインしてみてください。 ------ となりログインフォームに移動しなくなります。 これは custummenu プラグインの意図とはちょっと違う気がしますが、どうでしょうか? 私はこのリンクを押しただけでカウンターがあがっちゃうのはおかしいと思っているの ですが.... いろいろ私が勘違いしているかもしれません。識者の方のご意見をいただきたいとこ ろです。 また、login_attempts による DoS 拒否攻撃よけを停止させるにはどうするのがよい のでしょう? うちではいわゆるイントラネット上での稼動を予定しているので、当面 disable でも いいような気がするのですが、怖くて 0 とかの「それっぽい値」を試す気になりま せん(笑

状態: オフライン

Ivy

Site Admin
Admin
登録日: 2004/01/01
投稿数: 5974
場所:Tokyo
/users.php?mode=login は,通常ログインブロックでログインに失敗したときに表示されるURLです。 ログインブロックを表示させないイレギュラーな利用方法のために,ログインエラーのURLを便宜的にログインページとして利用するのだと考えたほうがよさそうです。 通常は,ログインメニューは不要で,ブロック内でログインします。 その場合,カスタムメニューで,ログインは,パーミッションで,3220 つまり, ログアウトされた状態では見れない設定にしておくとよいです。 /users.php?mode=loginをログインページとして使いたければ,試行回数をあらかじめ大目にしておくことで回避してみてください。

状態: オフライン

dengen

Site Admin
Admin
登録日: 2006/11/23
投稿数: 191
これは custummenu プラグインの意図とはちょっと違う気がしますが、どうでしょうか? 私はこのリンクを押しただけでカウンターがあがっちゃうのはおかしいと思っているの ですが....
はい。確かにログイン試行回数が減ってしまうことは意図していませんでした。 元々は、PHPモードのメニューアイテムのサンプルとして登録していたものです。 どうやら、http://{GEEKLOG_URL_BASE}/users.php にアクセスしただけで試行回数がカウントされてしまうようです。
うちではいわゆるイントラネット上での稼動を予定しているので、当面 disable でも いいような気がするのですが、怖くて 0 とかの「それっぽい値」を試す気になりま せん(笑
やめた方がいいです。試してみたら、それっきりログインできなくなりました Wink ログイン試行回数を無制限にするには、 public_html/lib-common.phpのCOM_checkSpeedlimit()が必ず0を返すようにハックすればよさそうですね。

状態: オフライン

marphy

Forum User
Newbie
登録日: 2008/10/22
投稿数: 9
lvy さん・dengen さん、連日に渡って助けてもらってありがとうございます。 お二人の意見を参考にして、とりあず、custummenu のメニューのうち、ログイン だけを無効化し、ブロックのログインフォーム一本で行くことにしました。 > /users.php?mode=login は,通常ログインブロックでログインに失敗したときに表示されるURLです。 > ログインブロックを表示させないイレギュラーな利用方法のために,ログインエラーのURLを便宜的に > ログインページとして利用するのだと考えたほうがよさそうです。 うすうす感じてはいたんですが、やっぱそんな感じですよねぇ... > やめた方がいいです。試してみたら、それっきりログインできなくなりました あぅぅ... なんか迷惑かけたみたいですみません _o_

時刻はすべて JST , 現在の時刻は 04:26 AM

  • 通常
  • 注目トピック
  • ロック済
  • 新着
  • 注目トピック 新着
  • ロック済トピック 新着
  •  ゲストユーザの投稿を見る
  •  投稿可能
  •  一部のHTMLを許可
  •  バッドワードをチェック