Mam pytanie z zakresu #php #programowanie #webdev. Muszę udostępnić ... (@husky83)

D.....a

konto usunięte 21.09.2022, 14:12:04

1

@husky83: Chodzi o zmniejszenie liczby zapytań czy odrzucenie tych, które nie pochodzą z dopuszczonego źródła?

husky83

husky83

21.09.2022, 14:14:15

0

@Dzyszla: najlepiej obydwa, ale póki co odrzucenie tych nie wywołanych przez moją apkę (stronę) w JS.

D.....a

konto usunięte 21.09.2022, 14:20:38

2

@husky83: Musisz jakiś mechanizm uwierzytelnienia (autoryzacji) stworzyć. Można posłużyć się którąś ze stosowanych metod. Możesz też opracować własną, np. wysyłając w żądaniu dane logowania, w przypadku poprawnym odpowiedzieć kluczem, który będzie musiał być dołączany do kolejnych żądań i będzie identyfikował uwierzytelnioną aplikację, a wszystkie zapytania z kluczami, które nie pasują do bazy uwierzytelnionych, będą odrzucane.

Druga opcja to np. jeśli znasz strukturę sieciową, skąd będą przychodzić żądania - to wówczas łatwo

Andy77Kl

21.09.2022, 14:21:02 via iOS

1

Dorzuc do zapytania dodatkowy parameter z jakimś hashem który wygenerujesz i porównasz po obu stronach

husky83

croppz

21.09.2022, 14:29:05

8

ale póki co odrzucenie tych nie wywołanych przez moją apkę (stronę) w JS.

@husky83: ale tak właściwie to po co? Ktoś będzie chciał dane to użyje selenium zamiast curla, żadna przeszkoda. Jak nie chcesz żeby ludzie scrapowali stronę to dodaj po prostu rate limitera jakiegoś i po przekroczeniu rzucaj 429.

nowiutki

21.09.2022, 14:34:01

4

odrzucenie tych nie wywołanych przez moją apkę (stronę) w JS.

@husky83: nie da się tak, skoro apka jest w JSie po stronie klienta to kod jest publicznie jawny. Żadne uwierzytelnianie, ani hashe nic tu nie dadzą. Jak ktoś będzie chciał to i tak się dokopie do tych "zabezpieczeń". Referer/origin można sobie również zmienić.

Jedynie rate limiter i banowie spamerskich IP.

D.....a

konto usunięte 21.09.2022, 14:36:57

1

@nowiutki: Jeśli uwierzytelnianie byłoby częścią wprowadzanych przez użytkownika danych, to da :) Oczywiście, nie na stałe w kodzie, bo to sensu nie ma, jak piszesz.

husky83

nowiutki

21.09.2022, 14:38:04

1

Jeśli uwierzytelnianie byłoby częścią wprowadzanych przez użytkownika danych, to da

@Dzyszla: oczywiście, ale z tego co zrozumiałem to OP chce mieć publicznie dostępną aplikację nawet dla gości, ale chciałby, żeby requesty pochodziły tylko z "legitnie" odpalonego ajaxa z jego stronki.

husky83

D.....a

konto usunięte 21.09.2022, 14:41:11

1

@nowiutki: Racja. Przydało by się więcej informacji - @husky83 - może się do tego odniesiesz i powiesz, jak to wygląda?

husky83

D.....a

konto usunięte 21.09.2022, 14:44:01

1

Niemniej, mam jeszcze pomysł - skrypt, który jest dynamicznie tworzony i możliwy do wykonania tylko przez określony czas. Jeśli to Twoja strona udostępnia skrypt, to może mogłaby ona przekazać zaszyfrowany czas (algorytmem tylko sobie znanym) i zapisze go w wygenerowanym skrypcie. Wówczas taki skrypt przesyła tą informację, a w API dekodujesz i sprawdzasz, czy jest to skrypt np. sprzed 5 minut.
Więc nawet jeśli ktoś ukradnie skrypt, to będzie on użyteczny tylko

husky83

rhqq

21.09.2022, 15:37:02

2

@husky83: w nginxie zrób sobie pierwszą linię walki, tylko urle pasujące do wszystkich handle w api przyjmuj, resztę od razu 403, te, które przepuszczasz daj rate limitting rozsądny. a później juz jak ktoś wspomniał, jakiś api-key zrób, starczy md5(zapytanie + klucz uzgodniony z klientem), i bedziesz w stanie szybko uwierzytelnić zapytanie. jeśli chcesz sie zabezpieczyć jeszcze przed tzw replay attacks, to musisz dorzucić do tego unixtimestamp i liczyć +/- 10s czyli

husky83

21.09.2022, 15:55:18

0

@croppz: 429 jest najrozsądniejsze, ale nie blokuje kogoś, kto strzela z wielu curl'i. Niestety nie mogę dać limitu na IP, bo zdarzają się całe sieci osiedlowe na jednym IP.

oczywiście, ale z tego co zrozumiałem to OP chce mieć publicznie dostępną aplikację nawet dla gości, ale chciałby, żeby requesty pochodziły tylko z "legitnie" odpalonego ajaxa z jego stronki.

@nowiutki: Dokładnie tak.
@Dzyszla: Ogólnie sprawa wygląda tak. Jest sobie pewna

D.....a

konto usunięte 21.09.2022, 16:05:44

1

@husky83: A ktoś ładuje stronę wcześniej, żeby pobrać informację? Naprawdę można by zrobić limit wtedy 2 żądań i obowiązek przeładowania strony. A tu sobie łatwiej poradzisz. Po prostu przypiszesz token, który sobie zachowasz podczas generowania strony i będziesz liczył, ile na tym tokenie poszło zapytań.

husky83

rhqq

21.09.2022, 16:40:14

0

@husky83: i nie zapominaj, ze wielu klientów uzywa curl/libcurl jako ich narzędzia do interfejsowania sie z api, wiec blokowanie curla to strzał w stope ;-)

husky83

21.09.2022, 16:43:52

0

@rhqq: To ma być tylko i wyłącznie dostępne z aplikacji, nikt "legalnie" z curla nie ma do tego strzelać :-)

rhqq

21.09.2022, 16:45:36

0

@husky83: to ci zaspoofuję curlem chroma czy inne dowolne narzędzie. patrzysz na to ze złej strony. token czasowy + klucz api i nginx do akceptowania tylko tego co jest zgodne z regexpem z lista uchwytów api i tyle

LuckyLuke_2776

21.09.2022, 17:32:22

2

Jaki jest najskuteczniejszy sposób na zabezpieczenie takiego API przed strzałami z CURL'a i podobnych?

@husky83: https://jwt.io

croppz

21.09.2022, 20:12:40

5

@husky83: chcesz zablokować scrapowanie to opcje są właściwie dwie, rate limiter albo captcha co kilka requestów. Wszystko inne co wymyślisz to będą tylko upierdliwe szczegóły.

Oczywiście rate limitera możesz obejść korzystając z odpowiednio dużej puli proxy, captchę możesz obejść wynajmując Hindusa. Ale to już powiedzmy poważniejsze przeszkody, niż konieczność wykonania dodatkowego requesta, ustawienia kilku headerów albo puszczenia całości przez selenium. Jakby dane faktycznie były warte kradzieży, to zawsze można też wziąć