Compter le nombre d'essais de login

**jsl1** · 28/04/2006, 12h03

Bonjour,
dans le cadre d'une application WEB développée avec Struts et hébergée sous Tomcat, je dois gérer plusieurs règles de sécurité que j'explique ci-dessous :
- Pour le login, si un utilisateur se trompe 3 fois de login, je dois désactiver son accès pendant un temps à déterminer.
- Dans l'application, si un utilisateur se trompe 3 fois dans la saisie d'un champ particulier du formulaire, idem je dois désactiver son accès.

Comment gérer ça au niveau de mon application ?
- Je pourrais gérer une HashMap globale avec l'IP come clé, et le nb essais comme valeur, mais bon je trouve ça pas très propre.
- Je pourrais enregistrer les data en base mais j'ai peur pour les performances...

Avez vous des bonnes pratiques pour cette problèmatique de sécurité ?
Est-ce que Tomcat peut faire ça par config ? sinon une idée côté programmation ?

Merci

jsl1

**sgourio** · 28/04/2006, 13h24

Bonjour,
pour ton login si tu utilises struts pourquoi ne pas mettre dans ton formulaire un compteur qui s'incrémente dans ta méthode validate?
A partir du moment ou l'utilisateur est blocké tu mets dans une hashMap static son login et l'heure à laquelle il a été bloqué. A sa prochaine connection tu testeras si il a le droit d'etre débloqué, et si oui tu le supprime de la hashMap.

Attention tout de même, si tu es amené a redémarrer ton application, tous les comptes seront débloqués.

**manblaizo** · 28/04/2006, 13h47

Bonjour !
Simple avis personnel. Au-delà des aspects techniques pour trouver la meilleure façon d'implémenter une solution à cette problématique, je m'interroge tout de même sur la pertinence du fait de devoir bloquer le compte d'un utilisateur pour cause de tentatives de login échouées. C'est vrai que ça pourrait permettre de ne pas mobiliser le serveur inutilement après un certain nombre d'essais, mais comme nous sommes sur un réseau public, n'importe qui pourrait le faire sur le compte de quelqu'un d'autre et le faire bloquer juste pour emmerder l'autre. Et comment faire la distinction quand la vraie personne tentera de se connecter ? Mais bon.... il y a surement une bonne raison pour que vous envisagiez quand même la nécessité de devoir bloquer des comptes utilisateur...

**jowo** · 28/04/2006, 13h50

Commentaire:

+1 pour manblaizo

Attention certaines entreprises utilisent un gateway pour aller sur internet et tous les connectés ont la même adresse IP.

**jsl1** · 28/04/2006, 16h46

Merci pour ces réponses constructives !

Pour la HashMap, c'est justement l'utilisation d'une variable statique qui me plait pas, pê à tort.

L'idée de base n'est pas de bloquer le simple utilisateur qui se trompe 3 fois mais d'éviter des attaques répetées. Je ne sais pas si c'est le meilleur moyen mais c'est une idée qui a été évoquée. Si vous connaissez d'autres moyens, ça m'interressent !

Pour l'autre point, pas de soucis, les utilisateurs ne sont pas derrière une gateway.

**jsl1** · 28/04/2006, 16h48

D'ailleurs est ce possible de gérer dynamiquement le fait de bloquer une IP au niveau du serveur càd que le serveur rejette toutes les requêtes de cette IP ?

**bmoussaud** · 28/04/2006, 17h14

Dans le serveur J2EE BEA - Weblogic Server, il existe un mécanisme permettant de régler le nombre de tentative de connexion et le temps d'inactivité du compte. En revanche rien pour la saisie d'un champs particulier, cela restera un développement spécifique