#1 2014-03-23 02:15:26

oliverfr
Membre
2013-04-27
153

Suggestion : signalement de tentatives échouées de connexion

Bonjour bonjour !

Je découvre fréquemment (bon, allez, un jour sur deux) que je ne suis plus connecté en tant que co-admin sur une gallerie piwigo, et ça m'intrigue. Problème de cookie, politique du logiciel, firefox qui plante, la faute à pas de chance, la faute à mon renouvellement d'IP.... Ou alors, peut-être, la faute à quelqu'un qui essaierait de se connecter en tant que moi mais qui échouerait.

C'est cette dernière pensée qui m'a rappelé la suggestion présente, je voulais la faire depuis un bout de temps :)
(Tandis que, me faire déco, je m'en fiche comme de ma première chemise, ça n'a aucune importance, ne vous embêtez pas avez ça pour moi)

Je pense que ça serait un gain pour piwigo, en termes de sécurité, que les tentatives de connexion ratées en tant qu'utilisateur soient loggées, avec le nom d'utilisateur, l'IP, la configuration du réferer, voire avec le mot de passe.
(Ce dernier point, le mot de passe, faut voir, il est possible qu'on fournisse le mot de passe qu'on utilise ailleurs avant de se rappeler "ah non, sur piwigo c'est ce mot de passe là !", et c'est alors trop tard, le mot de passe est loggé.)
(Ou alors on va chipoter, si l'utilisateur parvient finalement à se logger avec la même IP, les logs de ses échecs sont nettoyés.)

Comme ça, on saurait s'il y a un bot ou un malveillant qui nous a pris pour cible.

C'est précieux, de le savoir, ça, si on doit gérer un piwigo potentiellement professionnel, ou avec de multiples utilisateurs.

Et ça pourrait être couplé avec un bannissement temporaire des IPs essayant plus de "n" fois sans succès en moins de "x" minutes.

Vous en pensez quoi ?
Sans doute plutôt comme une extension, car ça n'intéressera pas tout le monde...

Enfin, voilà, c'était pour ma suggestion :)

Bonne soirée à tous, et, encore une fois, merci infiniment pour le superbe CMS photos !! :)

Hors ligne

#2 2014-03-23 02:18:44

Eric
Équipe Piwigo
VALENCE (FR)
2005-03-25
4579

Re: Suggestion : signalement de tentatives échouées de connexion

Bonjour,

[extension by Eric] Password Policy répondrait-il peut-être (au moins partiellement) à votre demande ?

Hors ligne

#3 2014-03-23 02:57:00

oliverfr
Membre
2013-04-27
153

Re: Suggestion : signalement de tentatives échouées de connexion

Aaaah ! J'avais vu une mention de ce nom, mais je ne pensais pas que ça permettait de bloquer aussi les tentatives ratées !

Merci beaucoup :)

Si ça permet aussi à l'administrateur de voir la liste des tentatives de connexion (c.a.d. pas juste stockée en base de données, listé quelque-part), afin de savoir s'il y a des tentatives ou non sans attendre que vienne se plaindre un utilisateur, alors oui, ça sera parfait :)

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter facebook newsletter Faire un don Piwigo.org © 2002-2018 · Contact