Step-up rate-limit + zwak-wachtwoord-check + security-alert-mails + extra headers (4 sub-fixes) #123

New issue

Closed

opened 2026-05-26 18:23:51 +00:00 by jesse-a · 1 comment

jesse-a commented 2026-05-26 18:23:51 +00:00

Owner

Copy link

Severity: MEDIUM

1. Step-up rate-limit: requirePasswordReauth werd zonder rate-limit gebruikt; 10 mislukte step-ups → 15 min lockout per user.
2. Zwak-wachtwoord-blokkade: bovenop 12-chars-minimum nu ook lange-maar-triviale wachtwoorden geweigerd (herhaalde tekens, opeenlopende reeksen, eigen naam/email, gangbare basiswoorden).
3. Security-alert-mails: bij wachtwoord-wijziging, 2FA-disable en admin-reset stuurt de app nu een mail naar de account-eigenaar zodat account-overname snel opvalt.
4. Extra response-headers: Cross-Origin-Opener-Policy: same-origin (XS-leak-bescherming), Cross-Origin-Resource-Policy: same-origin (geen externe embedding van CRM-resources), uitgebreidere Permissions-Policy (payment, usb, browsing-topics geweigerd), X-Permitted-Cross-Domain-Policies: none.

**Severity: MEDIUM** 1. **Step-up rate-limit**: `requirePasswordReauth` werd zonder rate-limit gebruikt; 10 mislukte step-ups → 15 min lockout per user. 2. **Zwak-wachtwoord-blokkade**: bovenop 12-chars-minimum nu ook lange-maar-triviale wachtwoorden geweigerd (herhaalde tekens, opeenlopende reeksen, eigen naam/email, gangbare basiswoorden). 3. **Security-alert-mails**: bij wachtwoord-wijziging, 2FA-disable en admin-reset stuurt de app nu een mail naar de account-eigenaar zodat account-overname snel opvalt. 4. **Extra response-headers**: `Cross-Origin-Opener-Policy: same-origin` (XS-leak-bescherming), `Cross-Origin-Resource-Policy: same-origin` (geen externe embedding van CRM-resources), uitgebreidere `Permissions-Policy` (payment, usb, browsing-topics geweigerd), `X-Permitted-Cross-Domain-Policies: none`.

jesse-a added the

fixed

security

severity-medium

labels 2026-05-26 18:23:51 +00:00

jesse-a commented 2026-05-26 18:23:51 +00:00

Author

Owner

Copy link

Opgelost in commit 5d0267d.

Opgelost in commit 5d0267d.

jesse-a closed this issue 2026-05-26 18:23:51 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

v1.0.0

v0.11

v0.10

v0.9

v0.8

v0.7

v0.6

v0.5

Labels

Clear labels   

deferred

Known issue, deferred

  

fixed

Resolved

  

security

Security review finding

  

severity-high

High severity

  

severity-low

Low severity

  

severity-medium

Medium severity

No labels

deferred

fixed

security

severity-high

severity-low

severity-medium

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

jesse-a/OpenCRM#123

No description provided.