Mam zamiar zaimplementować RESTful API na naszej stronie internetowej (w oparciu o usługi danych WCF, ale to prawdopodobnie nie ma znaczenia).W jaki sposób zapobiec atakom typu brute force na usługi danych RESTful
Wszystkie dane oferowane za pośrednictwem tego interfejsu API należą do niektórych użytkowników mojego serwera, więc muszę się upewnić, że tylko ci użytkownicy mają dostęp do moich zasobów. Z tego powodu wszystkie żądania muszą zostać wykonane przy użyciu kombinacji login/hasło w ramach żądania.
Jakie jest zalecane podejście do zapobiegania ataki typu brute force w tym scenariuszu?
Miałem na myśli rejestrowanie nieudanych żądań odrzuconych z powodu błędnych poświadczeń i ignorowanie żądań pochodzących z tego samego adresu IP po przekroczeniu pewnego progu nieudanych żądań. Czy to jest standardowe podejście, czy też brakuje mi czegoś ważnego?
Hm, jak chcesz umieścić CAPTCHA w API RESTfull? AFAIU wszyscy klienci nie powinni być istotami ludzkimi. – SergGr
Dobra rada, musiałem zamrugać nad RESTful bit. Zdradliwy. – crazyscot
Captcha jest tym, czego używam teraz na mojej zwykłej stronie internetowej. Ale jak zauważył początkujący Iphone, nie jest to opcja dla spokojnego api. Tarpitting może być jednak dobrym pomysłem. –