<p>We originally closed HTTPS to WAN zone for security reasons, and just left SSH available. Neither HTTPS or SSH has brute-force prevention, but the authentication of the HTTPS portal could be bypassed by stealing an auth token from an admin user (through a cross-site scripting or cross-site request forgery attack). But I agree that on more complicated network architectures, blocking HTTPS on WAN is a real pain in the butt for administration.</p>

<p style="font-size:small;-webkit-text-size-adjust:none;color:#666;">—<br>Reply to this email directly or <a href="https://github.com/opentechinstitute/luci-commotion/issues/406#issuecomment-51832190">view it on GitHub</a>.<img alt="" height="1" src="https://github.com/notifications/beacon/3074564__eyJzY29wZSI6Ik5ld3NpZXM6QmVhY29uIiwiZXhwaXJlcyI6MTcyMzQwNjM1NCwiZGF0YSI6eyJpZCI6MzkzODA5MjN9fQ==--91978a9bfa60084a4ebf9b86ccbb2a45e216d323.gif" width="1" /></p>