Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

[Sécurité] Ajout de procédures anti-force brute #2664

Merged
merged 6 commits into from
Jun 11, 2024
Merged

[Sécurité] Ajout de procédures anti-force brute #2664

merged 6 commits into from
Jun 11, 2024

Conversation

emilschn
Copy link
Collaborator

@emilschn emilschn commented Jun 7, 2024

Ticket

#2643

Description

Plusieurs pages sont concernées par des Brute-force possibles. Un rate limiter a donc été mis en place sur ces pages :

  • la page de login
  • la page de demande de lien de signalement
  • la page d'activation de compte
  • la page de renouvellement de mot de passe

Tests

  • Paramétrer les variables d'environnement si ce n'est pas fait : CONTACT_FORM_LIMITER_LIMIT et CONTACT_FORM_LIMITER_INTERVAL
  • Tester les 4 pages en conséquence

@hmeneuvrier
Copy link
Collaborator

Test page d'activation :
ça marche bien, mais j'ai mis du temps à m'en rendre compte, car j'imaginais une alerte. Je ne sais pas si c'est grave ?
image

Test page mot de passe perdu
idem
image

Test demande de lien
idem
image
et j'ai une erreur js dans la console, qui ne vient pas de ton code, mais je le signale quand même :
image

Page de login
ça marche, mais le texte est en anglais:
image

@emilschn
Copy link
Collaborator Author

@hmeneuvrier tes retours sont pris en compte.
et j'ai modifié le fonctionnement de la variable d'environnement

@sonarcloud SonarCloud
Copy link

sonarcloud bot commented Jun 11, 2024

Quality Gate Passed Quality Gate passed

Issues
1 New issue
0 Accepted issues

Measures
0 Security Hotspots
No data about Coverage
0.0% Duplication on New Code

See analysis details on SonarCloud

hmeneuvrier
hmeneuvrier approved these changes Jun 11, 2024
View reviewed changes
Copy link
Collaborator

@hmeneuvrier hmeneuvrier left a comment

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

J'ai retesté tous les formulaires, c'est ok !
Et relecture OK

numew
numew reviewed Jun 11, 2024
View reviewed changes
src/Controller/HomepageController.php
if (false === $limiter->consume(1)->isAccepted()) {
$view = $this->renderView('_partials/_demande-lien-signalement-rate-limit.html.twig', ['form' => $form]);

return new JsonResponse(['html' => $view]);
Copy link
Collaborator

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Je n'ai pas réussi à faire fonctionner ce cas la, mais je ne comprend pas pourquoi et tout le reste est ok donc c'est peut etre un soucis chez moi ?

numew
numew approved these changes Jun 11, 2024
View reviewed changes
Copy link
Collaborator

@numew numew left a comment
edited
Loading

Choose a reason for hiding this comment

The reason will be displayed to describe this comment to others. Learn more.

Je viens de retester ca marche, tout est ok

@numew numew merged commit af6ace8 into develop Jun 11, 2024
3 checks passed
@emilschn emilschn deleted the feature/2643-anti-brute-force branch June 27, 2024 12:38
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers

@numew numew numew approved these changes

@hmeneuvrier hmeneuvrier hmeneuvrier approved these changes

@sfinx13 sfinx13 Awaiting requested review from sfinx13

Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.

None yet
3 participants
@emilschn @hmeneuvrier @numew