opencrm

Hacker-Software/opencrm

Fork 0

Commit Graph

Author	SHA1	Message	Date
duffyduck	2cb6f172c9	Login-Rate-Limit pro (IP + Email)-Tupel + PUT /portal verbietet password Login-Rate-Limit: Bucket-Key jetzt `${ip}\|${email-lowercase}`, ein Limiter (10/15min). Vorher IP-only oder Email-only führten beide zu Problemen: - IP-only: Proxy-Wechsel umgeht Sperre auf Account-Ebene - Email-only: Familie hinter NAT (Max vertippt sich → Nina blockiert), Account-Lockout-DoS möglich - Tupel: Max gesperrt, Nina von gleicher IP weiterhin frei, Max von anderer IP auch noch, eigener Account bleibt erreichbar. Implementation: - middleware/rateLimit.ts: keyGenerator → ip\|email - routes/auth.routes.ts: nur ein loginRateLimiter am /login + /customer-login - controllers/rateLimitAdmin.controller.ts: Listing als (IP, Email)- Tupel, Reset nimmt ipAddress + optional email. Audit-resourceId = ip\|email (gleich wie Bucket-Key) → Listing kann Reset herausfiltern. - frontend/RateLimits.tsx: Tabelle mit IP- und Account-Spalte, Reset-Button schickt beides. PUT /customers/:id/portal: Body-Felder password/portalPassword/portalPasswordHash/ portalPasswordEncrypted werden explizit mit 400 abgelehnt. Vorher wurden sie silent ignoriert + HTTP 200, was den Client glauben ließ, das PW sei gesetzt. Hinweis im Error-Body zeigt auf den dedizierten POST /portal/password-Endpoint. Live-verifiziert: - 11x falsch max@x.de → 429 - Nina/Admin von gleicher IP → durch - Reset (IP, max) → max wieder 401 statt 429 - PUT /portal {password:"abcd"} → 400 "Felder nicht erlaubt" - PUT /portal ohne password → 200 Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-18 21:18:59 +02:00
duffyduck	956bc394b8	Rate-Limit-Sperren: Admin-UI zum Freigeben Bei zu vielen Login-Fehlversuchen war ohne Container-Restart kein Weg zurück. Jetzt sehen Admins die aktiven Sperren und können einzeln freigeben. Backend: - GET /api/settings/rate-limits/active (settings:read) Liest SecurityEvent RATE_LIMIT_HIT der letzten 15 Min, gruppiert nach IP, liefert lastEmail/limiters/hitCount/lastHit. - POST /api/settings/rate-limits/reset (settings:update) Body { ipAddress } → ruft loginRateLimiter.resetKey + passwordReset- RateLimiter.resetKey auf (express-rate-limit v7), audited als UPDATE auf resourceType=RateLimit. Frontend: - Neue Seite /settings/rate-limits: Tabelle mit IP/Email/Limiter/Hits/ Letzter-Hit/Aktion. Auto-Refresh alle 15s. Freigeben-Button pro IP. - Kachel in Settings-Übersicht (orange, ShieldOff-Icon, settings:read). Live-verifiziert: 11 failed Logins → 429 ab dem 11.; Liste zeigt IP + Email; POST /reset → 200; danach wieder 401 statt 429; Audit-Log „Rate-Limit für IP 127.0.0.1 manuell freigegeben" angelegt. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-17 01:20:43 +02:00

Author

SHA1

Message

Date

duffyduck

2cb6f172c9

Login-Rate-Limit:
Bucket-Key jetzt `${ip}|${email-lowercase}`, ein Limiter (10/15min).
Vorher IP-only oder Email-only führten beide zu Problemen:
- IP-only: Proxy-Wechsel umgeht Sperre auf Account-Ebene
- Email-only: Familie hinter NAT (Max vertippt sich → Nina blockiert),
  Account-Lockout-DoS möglich
- Tupel: Max gesperrt, Nina von gleicher IP weiterhin frei, Max von
  anderer IP auch noch, eigener Account bleibt erreichbar.

Implementation:
- middleware/rateLimit.ts: keyGenerator → ip|email
- routes/auth.routes.ts: nur ein loginRateLimiter am /login + /customer-login
- controllers/rateLimitAdmin.controller.ts: Listing als (IP, Email)-
  Tupel, Reset nimmt ipAddress + optional email. Audit-resourceId =
  ip|email (gleich wie Bucket-Key) → Listing kann Reset herausfiltern.
- frontend/RateLimits.tsx: Tabelle mit IP- und Account-Spalte,
  Reset-Button schickt beides.

PUT /customers/:id/portal:
Body-Felder password/portalPassword/portalPasswordHash/
portalPasswordEncrypted werden explizit mit 400 abgelehnt. Vorher
wurden sie silent ignoriert + HTTP 200, was den Client glauben ließ,
das PW sei gesetzt. Hinweis im Error-Body zeigt auf den dedizierten
POST /portal/password-Endpoint.

Live-verifiziert:
- 11x falsch max@x.de → 429
- Nina/Admin von gleicher IP → durch
- Reset (IP, max) → max wieder 401 statt 429
- PUT /portal {password:"abcd"} → 400 "Felder nicht erlaubt"
- PUT /portal ohne password → 200

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-18 21:18:59 +02:00

duffyduck

956bc394b8

Rate-Limit-Sperren: Admin-UI zum Freigeben

Bei zu vielen Login-Fehlversuchen war ohne Container-Restart kein Weg
zurück. Jetzt sehen Admins die aktiven Sperren und können einzeln
freigeben.

Backend:
- GET  /api/settings/rate-limits/active (settings:read)
  Liest SecurityEvent RATE_LIMIT_HIT der letzten 15 Min, gruppiert nach
  IP, liefert lastEmail/limiters/hitCount/lastHit.
- POST /api/settings/rate-limits/reset (settings:update)
  Body { ipAddress } → ruft loginRateLimiter.resetKey + passwordReset-
  RateLimiter.resetKey auf (express-rate-limit v7), audited als
  UPDATE auf resourceType=RateLimit.

Frontend:
- Neue Seite /settings/rate-limits: Tabelle mit IP/Email/Limiter/Hits/
  Letzter-Hit/Aktion. Auto-Refresh alle 15s. Freigeben-Button pro IP.
- Kachel in Settings-Übersicht (orange, ShieldOff-Icon, settings:read).

Live-verifiziert: 11 failed Logins → 429 ab dem 11.; Liste zeigt
IP + Email; POST /reset → 200; danach wieder 401 statt 429; Audit-Log
„Rate-Limit für IP 127.0.0.1 manuell freigegeben" angelegt.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-17 01:20:43 +02:00

2 Commits