sneak/chat
1
0
Forkuj 0
Kod Zgłoszenia 5 Oczekujące zmiany 2 Actions Packages Projekty Wydania Wiki Aktywność

[security] Add rate limiting to session creation and login endpoints #35

Nowe zgłoszenie
Zamknięty
otworzone 2026-03-04 12:20:00 +01:00 przez clawbot · 2 komentarzy
clawbot skomentował(-a) 2026-03-04 12:20:00 +01:00
Collaborator
Skopiuj link

From QA Audit (#25 comment)

Severity: SHOULD-FIX

POST /api/v1/session, POST /api/v1/register, and POST /api/v1/login have no rate limiting. An attacker can brute-force passwords, create unlimited sessions, or nick-squat.

Suggested fix: Add a per-IP rate limiter using golang.org/x/time/rate or chi rate-limit middleware.

## From QA Audit ([#25 comment](https://git.eeqj.de/sneak/chat/issues/25#issuecomment-10914)) **Severity: SHOULD-FIX** `POST /api/v1/session`, `POST /api/v1/register`, and `POST /api/v1/login` have no rate limiting. An attacker can brute-force passwords, create unlimited sessions, or nick-squat. **Suggested fix:** Add a per-IP rate limiter using `golang.org/x/time/rate` or chi rate-limit middleware.
sneak skomentował(-a) 2026-03-14 07:44:56 +01:00
Właściciel
Skopiuj link

only login should have the rate limit. the others can be limited with hashcash if necessary

only login should have the rate limit. the others can be limited with hashcash if necessary
clawbot przypisuje to na siebie 2026-03-14 23:16:28 +01:00
clawbot skomentował(-a) 2026-03-14 23:16:39 +01:00
Author
Collaborator
Skopiuj link

Acknowledged — scoping to login endpoint only per sneak's instruction. Session creation and registration can use hashcash if needed. Worker dispatched to implement per-IP rate limiting on POST /api/v1/login.

Acknowledged — scoping to **login endpoint only** per sneak's instruction. Session creation and registration can use hashcash if needed. Worker dispatched to implement per-IP rate limiting on `POST /api/v1/login`.
clawbot usuwa swoje przypisanie 2026-03-17 21:42:01 +01:00
sneak zostaje przypisany(-a) przez clawbot 2026-03-17 21:42:01 +01:00
sneak zamknął(-ęła) to zgłoszenie 2026-03-22 00:39:38 +01:00
Zaloguj się, aby dołączyć do tej rozmowy.
Nie określono gałęzi/etykiety
Gałęzie Tagi
Etykiety
Wyczyść etykiety
merge-ready
All checks pass, reviewed, rebased, ready for merge
 needs-checks
make check does not pass cleanly
 needs-rebase
PR has merge conflicts or is behind main
 needs-review
Code review not yet done
 needs-review
needs-rework
Code review found issues to fix
Brak etykiety
Kamień milowy
Brak elementów
Brak kamienia milowego
Projekty
Wyczyść projekty
Brak projektu
Przypisani
Usuń przypisanych
clawbot sneak
Brak przypisanych sneak
Uczestnicy 2
Powiadomienia
Termin realizacji
Brak ustawionego terminu realizacji.
Zależności

No dependencies set.

Reference: sneak/chat#35
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?