RESTful API URL e attacchi di tipo Denial of Service

3

Ho sentito la seguente dichiarazione oggi:

We shouldn't use /api (e.g. in a RESTful URL like /api/v1/users/get) in our RESTful URLs anymore because it makes it easier for people to Denial Of Service attack our site. If we just give it a name like /users/get then people will be less likely to think it's an API and therefore won't be bothered DOS'ing us.

Ho pensato che fosse una dichiarazione pazzesca e ho sottolineato che i siti web di grandi dimensioni come Twitter utilizzano questo stesso formato di URL, a cui la persona ha risposto

Just because they do it doesn't mean it's ok

C'è qualche merito nella dichiarazione di questa persona? Sono completamente in disaccordo con lui. Direi che se qualcuno avesse intenzione di attaccare il DOS sul nostro sito, un formato URL differente nella nostra API non li fermerebbe sicuramente!

    
posta jcm 10.02.2014 - 11:50
fonte

1 risposta

7

Il suo suggerimento è semplicemente Sicurezza per oscurità . Come fai notare, un determinato attaccante non sarebbe molto alterato da questo e rischierebbe di darti un falso senso di sicurezza.

Se sei preoccupato per gli attacchi di tipo denial of service, dovresti esaminare soluzioni più solide.

L'opinione di Schneier in merito:

I used to decry secret security systems as "security by obscurity." I now say it more strongly: "obscurity means insecurity."

link (14 febbraio 2014)

    
risposta data 10.02.2014 - 11:58
fonte

Leggi altre domande sui tag