Développement #110748
password/change: ajouter du throttling
Start date:
06 October 2025
Due date:
% Done:
0%
Estimated time:
Patch proposed:
No
Planning:
No
Description
C'est vraiment un cas très très limite et d'ailleurs je mets le ticket en priorité basse, mais une personne ayant accès à une session authentifié (directement ou par un vol de cookie) pourrait découvrir, en utilisant une technique brute-force, le mot de passe de manière plus "simple" que via la page de login parce que la vue de changement de mot de passe donne un oracle sans throttling pour tester des mots de passe.
History
Updated by Paul Marillonnet about 1 month ago
- Status changed from Nouveau to En cours
- Assignee set to Paul Marillonnet
🤖 Une pull request concernant ce ticket a été ouverte :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/578
- Titre : WIP: /password/change/: add ip-based ratelimit (#110748)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/578/files
Updated by Benjamin Dauvergne about 1 month ago
- Status changed from Solution proposée to Solution validée
🤖 Pull request approuvée :
Updated by Paul Marillonnet about 1 month ago
- Status changed from Solution validée to En cours
🤖 Travail initié ou repris dans une pull request :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/578
- Titre : WIP: /password/change/: add ip-based ratelimit (#110748)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/578/files
Updated by Paul Marillonnet about 1 month ago
- Status changed from Solution proposée to Résolu (à déployer)
🤖 Pull request fusionnée :
- URL : https://git.entrouvert.org/entrouvert/authentic/pulls/578
- Titre : /password/change/: add ip-based ratelimit (#110748)
- Modifications : https://git.entrouvert.org/entrouvert/authentic/pulls/578/files
Updated by Transition automatique about 1 month ago
- Status changed from Résolu (à déployer) to Solution déployée
/password/change/: add ip-based ratelimit (#110748)