Le pagine di accesso senza numero di tentativi / blocchi di sicurezza rappresentano un rischio per la sicurezza?

Sì, si tratta di un serio controllo della sicurezza e deve essere segnalato in modo che possa essere risolto immediatamente.

Attenzione! Sulla base di quello che stai dicendo, hai già indossato il cappello, e ora tocca all'interpretazione se si tratta di un cappello nero, grigio o bianco. A seconda delle località, potresti aver già commesso un crimine. Gli amministratori di sistema possono diventare molto protettivi dei loro sistemi, e non sempre vedono l'angolo onesto di tipo show-you-your-lock-is-broken.

Questo potrebbe essere un lavoro per suggerimenti anonimi, a meno che tu non abbia un buon rapporto di lavoro con un membro del personale che potrebbe segnalarlo per te e mantenere la tua identità riservata.

Ha assolutamente bisogno di essere informato, ma non per caso martirizza te stesso come un buon Samaritano.

Penso che potrebbero esserci alcune ragioni per non utilizzare il contatore di lockout / retry:

1. Per qualsiasi input del nome utente non valido o buon username / password errata, dovrebbe sempre restituire il messaggio di errore "Nome utente o password non validi". Oppure il messaggio di errore perde informazioni utente.

2. Per il blocco, non sono validi utenti non esistenti; bloccare gli utenti esistenti potrebbe anche peggiorare in quanto esiste un potenziale attacco DoS.

3. Il contatore di re-try non deve essere basato su un nome utente, anche in questo caso il messaggio di errore non definito potrebbe far perdere l'esistenza degli utenti. Tuttavia, se non è basato su un nome utente, basato sulla sessione o basato su ip non sarà di grande aiuto in quanto la sessione potrebbe sempre iniziarne una nuova e l'IP potrebbe essere rappresentato.