Wpis z mikrobloga

Skopiuj link

11.03.2024, 19:04:06

Serwis innego zespołu wystawia rest api które jest totalnie otwarte. Każdy postem może sobie strzelić. Niestety to api jest dość ciężkie bo generuje pdfa i request jest synchroniczny więc trwa to około 4 sek.
Chciałem żeby tamten zespół zrobił jakieś security ale pytają mnie że w sumie czemu. Wszystkie dane i pdf nie jest tajny.
Nie wiem czy maja zaimplementowane jakieś circuit breakery żeby ktoś nie ubił im aplikacji.
Jak ich przekonać, a może nie trzeba?

Jeśli przekonać to ma ktoś jakiś fajny artykuł po angielsku który by mówił że to jest źle?
#programowanie

scriptkitty

11.03.2024, 19:09:39 via Wykop

Jak ich przekonać, a może nie trzeba?

@hipodrom: DDoS-em

LubieSzaszylkiZLublina

11.03.2024, 19:11:45 via Android

@hipodrom ale to wystaje na świat?

hipodrom

11.03.2024, 19:13:45 via Wykop

@LubieSzaszylkiZLublina: tak

markaron

11.03.2024, 19:14:15 via Wykop

Nie wiem czy maja zaimplementowane jakieś circuit breakery żeby ktoś nie ubił im aplikacji.

@hipodrom: Ale co ma circuit breaker do tematu? Do tego o czym mówisz to używa się throttlingu, rate limiting i ddos protection. Tu masz szczegółowe info od Netflixa https://netflixtechblog.com/starting-the-avalanche-640e69b14a06

hipodrom

11.03.2024, 19:16:47 via Wykop

@markaron: tak, masz rację. Zakładając że to mają to brak security jest problemem?

markaron

11.03.2024, 19:20:38 via Wykop

@hipodrom: Ale jakiego security? Throttling, rate limiting oraz ddos protection to jest security, więc jak to mają to mają jakieś aspekty bezpieczeństwa wdrożone. Czy chodzi ci o uwierzytelnianie, autoryzację?

hipodrom

11.03.2024, 19:25:13 via Wykop

@markaron: nigdy nie spotkałem się żeby tak ciężkiie api było otwarte na świat. Wydaje mi się że łatwiej by było trackowac kogoś kto musiałby mieć sso albo cokolwiek. Tak jakiś cross atak jest zrobić chyba dużo prościej

markaron

11.03.2024, 19:30:38 via Wykop

Najprościej to jakaś forma uwierzytelniania, najprościej to API key per klient i ustawienie limitu per klucz. Jak klient przekroczy limit transferu requestów na 1/5/10 minut na swoim kluczu to odrzucasz jego requesty. Poczytaj o implementacji Rate Limiting oraz Throttlingu to ci się rozjaśni.

hipodrom

11.03.2024, 19:40:02 via Wykop

@markaron: Ale tutaj nie ma żadnego klucza więc raczej tego nie ma

markaron

11.03.2024, 19:46:29 via Wykop

@hipodrom: Nie wiem co jest a czego nie ma. Pytałeś jakie rozwiązania się stosuje to ci napisałem.
Zwykle rate limiting implementuje się per aplikacja czyli potrzebny jest jakiś klucz czy inne kredki do uwierzytelnienia i identyfikacji aplikacji. Mogą mieć taki limit włączony globalnie, co jest słabe bo wtedy jak się wykorzysta limit to nie działa nikomu ale będzie to jakąś formą zabezpieczenia.

Aktywne Wpisy

AdamIspireGoral

AdamIspireGoral +437

6 godz. i 8 min temu

To jest mój punkt startowy.
Zero formy, zero wymówek.
Od dziś zaczynam drogę od 0 do fit.
Zapisuję to tutaj, żeby już nie było odwrotu.
Co tydzień aktualizacja.

Ostatni

AdamIspireGoral - To jest mój punkt startowy.
Zero formy, zero wymówek.
Od dziś zaczy... — **źródło:** 1000003849
Pobierz

jegertilbake

jegertilbake +319

5 godz. i 44 min temu

Czy z uwagi na niska demografię w Polsce nadszedł w końcu najwyzszy czas, zeby księża przestali ubierać sie w sukienki jak transwestyci i znaleźli sobie żony z którymi założą rodziny pelne dzieci dajac przykład swoim parafianom?

#polska #pytanie #antynatalizm #bekazkatoli

jegertilbake - Czy z uwagi na niska demografię w Polsce nadszedł w końcu najwyzszy cz... — **źródło:** 83622645d6a1239ce228e725bf0ec26f
Pobierz

Aktywne Wpisy

Aktywne Znaleziska

"Zrabowane skarby II wojny światowej. Czy kiedykolwiek je odzyskamy?"

Brutalizm w Polsce - które budynki są naprawdę brutalistyczne?

W Wirginii 2 psy zagryzły 23 jelonki w pogotowiu dla dzikich zwierząt [ENG]

Szpital tonie w długach, lekarze zarabiają miliony. "Systemowa patologia"

Wakacje w Polsce droższe niż za granicą | Polacy przepłacają za wszystko

Popularne tagi