- Alle APIs sollten authentifiziert sein. So lassen sich böswillige Nutzer identifizieren
→ Wenn eine vollständige Authentifizierung nicht möglich ist, sollten anonyme/nicht authentifizierte Zugriffe stark eingeschränkt werden
- Die von einer einzelnen API zurückgegebene Datenmenge sollte minimiert werden
- Für alle APIs sollte Rate-Limiting gelten
- Bösartiger Traffic sollte gefiltert werden, bevor er die Anwendung erreicht
- Ungewöhnliche URLs sollten blockiert werden
- Bösartige IPs sollten blockiert werden (auch wenn von ihnen ein kleiner Anteil legitimen Traffics kommt)
- Die Blocklist sollte automatisiert werden
- Tar Pitting ist eine hervorragende Methode, um Botnetze und volumenbasierte Angriffe zu verlangsamen
2 Kommentare
"Die Datenmenge, die eine einzelne API zurückgibt, sollte minimiert werden" – ein Punkt, dem ich auch sonst zustimme und den ich gut umzusetzen versuche, aber aus purer Bequemlichkeit ...
Das sind zwar selbstverständliche Dinge, aber gerade wenn viel los ist, übersieht man sie wohl oft. Offenbar ist es genau das, was Prinzipien ausmacht.