Rate-limit is in-memory + X-Forwarded-For spoofable #95

New issue

Open

opened 2026-05-26 18:23:30 +00:00 by jesse-a · 0 comments

jesse-a commented

2026-05-26 18:23:30 +00:00

Owner

Severity: LOW (deferred — single-instance OK)

src/lib/rate-limit.ts gebruikt een lokale Map voor brute-force-bescherming. Werkt niet over meerdere instances. Login gebruikt x-forwarded-for/x-real-ip als key in src/app/actions/auth.ts — spoofbaar als de reverse proxy headers niet strikt overschrijft.

Status: gedeferd. Onze huidige Coolify-deploy draait single-instance achter Traefik dat XFF zelf zet — het rate-limit-pad werkt dus correct. Wordt actueel zodra we horizontal scaling toevoegen of als Traefik-config wijzigt.

Mogelijke fix later: Redis-backed rate-limit + strenger XFF-vertrouwen (verplichte proxy-bron-check).

**Severity: LOW** (deferred — single-instance OK) `src/lib/rate-limit.ts` gebruikt een lokale `Map` voor brute-force-bescherming. Werkt niet over meerdere instances. Login gebruikt `x-forwarded-for`/`x-real-ip` als key in `src/app/actions/auth.ts` — spoofbaar als de reverse proxy headers niet strikt overschrijft. **Status**: gedeferd. Onze huidige Coolify-deploy draait single-instance achter Traefik dat XFF zelf zet — het rate-limit-pad werkt dus correct. Wordt actueel zodra we horizontal scaling toevoegen of als Traefik-config wijzigt. **Mogelijke fix later**: Redis-backed rate-limit + strenger XFF-vertrouwen (verplichte proxy-bron-check).

jesse-a added the

deferred

security

severity-low

labels

2026-05-26 18:23:30 +00:00