-
思源笔记密码爆破防护
2024-03-25 09:57Hi 作者你好,我看到了思源上线了登录失败的日志记录,但是目前缺少登录成功和登录失败的 IP 地址记录,无法实现对密码爆破的自主监控与防护,还希望作者考虑添加记录登录成功和登录失败的 IP 地址功能!
目前的登录日志如下:
W 2024/03/23 17:28:28 session.go:97: invalid auth code,(缺少 IP:xxx.xxx.xxx.xxx)
I 2024/03/23 17:28:43 session.go:116: auth success,(缺少 IP:xxx.xxx.xxx.xxx) -
思源笔记密码爆破防护
2024-03-11 22:22嗯嗯,我看到了有图形验证码的限制,但是可能比较容易被专门的过验证码 OCR 识别,存在被绕过的风险。
如果作者大大能考虑把密码输入错误造成的登录失败记录到日志中,对于 Docker 用户来说就可以自定义日志监控和告警,进一步提高笔记的安全性了。
作为网络安全的从业者我还是建议系统在访问的安全性上可以做到更好!希望作者考虑一下这个建议。