¿Las páginas de inicio de sesión sin conteos / bloqueos de reintentos son un riesgo para la seguridad?

Sí, esta es una supervisión de seguridad seria y debe informarse para que pueda solucionarse de inmediato.

¡Cuidado! Según lo que está diciendo, ya se ha puesto el sombrero, y ahora se puede interpretar si se trata de un sombrero negro, gris o blanco. Dependiendo de las localidades, es posible que ya hayas cometido un delito grave. Los administradores de sistemas pueden ser muy protectores con sus sistemas, y no siempre ven el punto de vista de los hombres honestos que muestran que su candado está roto.

Este puede ser un trabajo para consejos anónimos, a menos que tenga una buena relación de trabajo con un miembro del personal que pueda reportarlo por usted y mantener su identidad confidencial.

Es absolutamente necesario informar, pero no te mates accidentalmente por ser un buen samaritano.

Creo que hay algunas razones para no usar el contador de reintentos / bloqueo:

1. Para cualquier entrada de nombre de usuario no válida o entrada de nombre de usuario bueno / contraseña incorrecta, siempre debe devolver el mensaje de error 'Nombre de usuario o contraseña no válido'. O el mensaje de error filtrará la información del usuario.

2. Para el bloqueo, no es válido para usuarios no existentes; el bloqueo de los usuarios existentes podría ser incluso peor, ya que hay un posible ataque DoS.

3. El contador de reintentos no debe estar basado en el nombre de usuario, de nuevo, un mensaje de error no definido correctamente podría filtrar la existencia de los usuarios. Sin embargo, si no se basa en el nombre de usuario, la sesión o la IP no será de mucha ayuda, ya que la sesión siempre podría iniciar una nueva, y la ip podría ser suplantada.