Her müşteriye ayrı ayrı iptal edebileceğiniz özel bir anahtar sağlamadığınız sürece bağlantıları etkili bir şekilde reddedemezsiniz. Ama bu muhtemelen aşırıya kaçmış. Çoğu kişi bir mermi ateşlemekle uğraşmazsa, kurşun geçirmez bir çözüme ihtiyacınız yoktur.
Bu bir güvenlik sorusu, bu yüzden bir tehdit modeli ve etki azaltma stratejileri tanımlayalım.
Size belirgin bir maliyet getirebilecek bir URL isabetiniz olduğunu varsayalım (örneğin işlem maliyeti) ve bunu hem basit bir DoS saldırısından hem de taklitçi uygulamalarından korumak istediğinizi varsayalım.
Bağlantının kolayca analiz edilmesini engellemek için SSL kullanın. İsteğin maliyetli kısmını yapmadan önce bağlantıyı biraz karmaşıklaştırmak için obviuos olmayan bir bağlantı noktası numarası, yönlendirme sırası, bir çerez değişimi kullanın. Sunucunun bağlantıyı kabul etmesi gerektiğini bildirmek için uygulamanızda pişmiş bazı gizli kodları kullanın.
Artık birisi, pahalı bir URL'yi basitçe bir paket dinleyicisi çalıştırarak veya kodunuzdaki URL benzeri dizelere bakarak öğrenemez. Potansiyel bir saldırgan uygulamanızı koda etmek zorundadır.
Kodunuzun gerçekten bir hata ayıklayıcı altında çözülmesini ve / veya çalıştırılmasını engelleyemezsiniz. Saldırgan sonunda gizli anahtarı ve bağlantı sırasını öğrenir.
Pahalı URL'nizde aldatma istekleri almaya başladığınızı fark edersiniz: bir saldırı biçiminde veya çalıştırmak için hizmetinize erişmesi gereken bir taklitçi uygulaması biçiminde veya belki bir istismar kodu herkese açık olarak gönderilir. Bununla birlikte, meşru bir talepten sahte bir istekte bulunamazsınız.
Farklı bir gizli anahtarla uygulamanız için ücretsiz bir küçük güncelleme oluşturun. Güvenliği ihlal edilmiş maliyetli URL ile aynı verileri sunan farklı bir maliyetli URL'ye çarpması gerekir. Bir süre için her iki URL'yi de erişilebilir yapın.
Kullanıcı tabanınızın güncellenmiş sürüme geçişini izleyin. Güvenliği ihlal edilmiş maliyetli URL'yi kısaltın ve 404 URL'sini düşürün. Umarım çok fazla kaybetmeden bir güvenlik ihlalini hafifletmişsinizdir. Silbaştan.
Feragatname: Ben bir güvenlik uzmanı değilim.