Bruteforce Schutz
Closed this issue · 6 comments
Hallo,
kann es sein das der Adapter keinen Bruteforceschutz drin hat?
Sobald ich den TG Namen vom Bot kenne, kann ich ewig das Password testen, bis ich das richtige gefunden haben.
Es wird zumindest nicht ersichtlich, das Anfragen aktuell nicht mehr angenommen werden.
Kann man hier vielleicht einbauen, das nach 10 versuchen sich mit dem Passwort anzumelden die Anfragen von der User ID blockiert werden?
Ich sehe hier da ein sehr großes Sicherheitsrisiko. Die TG API ist sehr kullant was API Calls angeht. Mit einen kleinen Script kann man auf jede x beliebige Instanz sehr schnell sehr viele Anfragen senden, bis man durch gekommen ist. Wenn dann dahinter nicht nur ein lesender Zugriff auf IOB ist, sondern auch ein schreibender, dann wird es für den jenigen sehr "lustig".
Ist das nicht eher ein Telegram API issue?
Ist das nicht eher ein Telegram API issue?
ich würde meinen: Nein, denn es handelt sich ja um ein Adapter-spezifisches Passwort und den Zugriff regelt einzig der Adapter. Andererseits denke ich persönlich dass mit der Begrenzung des Zugriffs auf bereits angemeldete User der Sicherheit Genüge getan ist. Just my 2cents
Ist das nicht eher ein Telegram API issue?
Nein, die Sicherheit muss der Adapter bieten. Die API vom Bot gibt alles an den Adapter weiter und der verarbeitet ja erst überhaupt was. Einzig was TG macht, ist die Limitierung der API Calls. Was hier aber nur bedeutet: "Wieviele Passwörter pro Sekunde werden getestet."
Ist das nicht eher ein Telegram API issue?
ich würde meinen: Nein, denn es handelt sich ja um ein Adapter-spezifisches Passwort und den Zugriff regelt einzig der Adapter. Andererseits denke ich persönlich dass mit der Begrenzung des Zugriffs auf bereits angemeldete User der Sicherheit Genüge getan ist. Just my 2cents
Mein Szenario ist ja noch davor. Es geht hier um die Erstanmeldung beim Adapter über TG mit "/password asdasda".
Ich kann diesen Befehl ohne Ende spammen. Mit einen Script dann immer das Passwort automatisch ändern.
ich finde das sehr theoretisch, das Problem ist ja schon mal, dass die brute force attacke dann aber per Hand erfolgen muss, da zwei Bots in einem Chat nicht miteinander kommunizieren können (api mäßig verboten). fällt das Thema Skript schon mal weg und per Makro ins Chatfenster pushen und die Antwort muss dann auch noch ausgewertet werden, stell ich mir ziemlich aufwendig vor.
This issue has been automatically marked as stale because it has not had recent activity. It will be closed if no further activity occurs within the next 7 days. Please check if the issue is still relevant in the most current version of the adapter and tell us. Also check that all relevant details, logs and reproduction steps are included and update them if needed. Thank you for your contributions.
Dieses Problem wurde automatisch als veraltet markiert, da es in letzter Zeit keine Aktivitäten gab. Es wird geschlossen, wenn nicht innerhalb der nächsten 7 Tage weitere Aktivitäten stattfinden. Bitte überprüft, ob das Problem auch in der aktuellsten Version des Adapters noch relevant ist, und teilt uns dies mit. Überprüft auch, ob alle relevanten Details, Logs und Reproduktionsschritte enthalten sind bzw. aktualisiert diese. Vielen Dank für Eure Unterstützung.
This issue has been automatically closed because of inactivity. Please open a new issue if still relevant and make sure to include all relevant details, logs and reproduction steps. Thank you for your contributions.
Dieses Problem wurde aufgrund von Inaktivität automatisch geschlossen. Bitte öffnet ein neues Issue, falls dies noch relevant ist und stellt sicher das alle relevanten Details, Logs und Reproduktionsschritte enthalten sind. Vielen Dank für Eure Unterstützung.