คุณไม่สามารถปฏิเสธการเชื่อมต่อได้อย่างมีประสิทธิภาพเว้นแต่คุณจะให้รหัสส่วนตัวซึ่งลูกค้าสามารถเพิกถอนได้ แต่นี่อาจจะเกินกำลัง คุณไม่จำเป็นต้องมีระบบกันกระสุนถ้าคนส่วนใหญ่ไม่สนใจที่จะยิงกระสุน
มันเป็นคำถามเพื่อความปลอดภัยดังนั้นเราจะมาอธิบายรูปแบบการคุกคามและกลยุทธ์การลดความเสี่ยง
สมมติว่าคุณมีการกดปุ่ม URL ซึ่งอาจมีค่าใช้จ่ายที่เห็นได้ชัดเจน (เช่นต้นทุนการประมวลผล) และคุณต้องการปกป้องทั้งจากการโจมตี DoS อย่างง่ายและจากแอปเลียนแบบ
ใช้ SSL เพื่อซ่อนการเชื่อมต่อจากการวิเคราะห์อย่างง่ายดาย ใช้หมายเลขพอร์ตที่ไม่ใช่ obviuos ลำดับการเปลี่ยนเส้นทางการแลกเปลี่ยนคุกกี้เพื่อทำให้การเชื่อมต่อซับซ้อนขึ้นเล็กน้อยก่อนที่คุณจะดำเนินการตามคำขอส่วนที่มีราคาแพง ใช้รหัสลับที่ถูกอบเข้าไปในแอปของคุณเพื่อให้เซิร์ฟเวอร์ทราบว่าต้องยอมรับการเชื่อมต่อ
ตอนนี้บางคนไม่สามารถเรียนรู้ URL ที่มีราคาแพงได้โดยเพียงแค่เรียกใช้แพ็คเก็ตดมกลิ่นหรือโดยดูที่สตริงเหมือน URL ในรหัสของคุณ ผู้โจมตีที่มีศักยภาพต้องถอดรหัสแอปของคุณ
คุณไม่สามารถป้องกันรหัสของคุณจากการถูก decompiled และ / หรือทำงานภายใต้ดีบักเกอร์ ในที่สุดผู้โจมตีก็จะเรียนรู้ถึงรหัสลับและลำดับการเชื่อมต่อ
คุณสังเกตเห็นว่าคุณเริ่มรับคำร้องขอสีแดงที่ URL ที่มีค่าใช้จ่ายสูงไม่ว่าจะเป็นรูปแบบของการโจมตีหรือในรูปแบบของแอพพลิเคชั่นเลียนแบบที่ต้องเข้าถึงบริการของคุณเพื่อให้ทำงานได้ คุณไม่สามารถบอกคำขอปลอมได้จากคำขอที่ชอบด้วยกฎหมาย
สร้างการอัปเดตเล็กน้อยสำหรับแอปของคุณด้วยรหัสลับอื่น ควรมี URL ที่มีค่าใช้จ่ายแตกต่างกันซึ่งให้บริการข้อมูลเดียวกันกับ URL ที่มีค่าใช้จ่ายที่ถูกบุกรุก บางครั้งทำให้ URL ทั้งสองสามารถเข้าถึงได้
ดูการสลับฐานผู้ใช้ของคุณเป็นเวอร์ชันที่อัปเดตแล้ว เค้น URL ที่มีค่าใช้จ่ายสูงและ 404 ในที่สุด คุณได้ลดการละเมิดความปลอดภัยโดยหวังว่าจะไม่สูญเสียมากเกินไป กลับไปที่ตารางหนึ่ง
คำเตือน: ฉันไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัย