Dopóki będzie używany NAT (Network Address Translation) i router ma jeden IP adres z którego loguje się więcej niż jeden użytkownik - taka sytuacja będzie się zdarzać. Niestety dopiero IP v. 6 pozwoli na połączenia typu: jeden użytkownik - unikalny IP adres.
W nowej wersji 1.5 postaramy się wziąć to pod uwagę:
- ustawianie przez administratora nie tylko okres banowania ale i ilość nieudanych prób (3, 5 itd.)
- banowanie po user ID a nie po adresie IP.
W obecnej wersji jedynym obejściem jest wyłączenie banowania całkowicie, a jeżeli nie jest wyłączony a system logowania zbanował dany adres IP należy ręcznie usunąć wpisy z tabeli user_login_ban przy użyciu np. phpmyadmin - jeżeli nie chcemy czekać na wygaśnięcie banowania i potrzebujemy odblokować aplikację natychmiast.
Chcę tutaj zaznaczyć, że problem taki może wystąpić gdy aplikacji używają osoby nie posiadające odpowiedniego doświadczenia - jak np. w opisywanym przypadku gdy instalacja EPESI jest używana w celach treningowych. Z doświadczenia mogę powiedzieć, że sytuacje takie zdarzają się niezwykle rzadko - nawet przy instalacjach z ponad 500 aktywnymi użytkownikami. Niemniej postaramy się znaleźć odpowiednie rozwiązanie.
Jeśli chodzi o adres publiczny dla instalacji EPESI - nie wyobrażam sobie aplikacji webowej dostępnej jedynie np. w biurze. Cała idea opiera się na możliwości dostępu do danych z dowolnego komputera z dowolnego miejsca - z domu, w podróży itd.
Dla odpowiedniego zabezpieczenia proponuję:
- włączenie HTTPS zamiast HTTP i zakup nawet najtańszego certyfikatu SSL - to pozwoli na szyfrowanie danych pomiędzy serwerem a klientem - to rozwiązanie jest mocno rekomendowane dla firm dbających o bezpieczeństwo danych.
dodatkowo można zastosować:
- łączenie się z aplikacją przez VPN (niezbyt wygodne, ale bezpieczniejsze).
- włączenie drugiego poziomu autentykacji - możliwe to jest i w serwerach Linuxa i Windows jak i na bardziej rozbudowanych routerach.
Oczywiste jest, że zwiększenie bezpieczeństwa poprzez ograniczenie dostępu wiąże się z niedogodnościami - jedynym wyjątkiem jest włączenie HTTPS, który jest obsługiwany przez każdą przeglądarkę.