私のアプリにはユーザーが登録できる登録サービスがあります。しかし、悪意のある人が数秒で何千ものアカウントを登録するスクリプトを書くことができます。キャプチャを使わずにアプリケーションのセキュリティを登録するにはどうすればいいですか?
私のバックエンドの開発者は、モバイルアプリでcaptchasを使用することを提案しています。しかし、キャプチャを使用しているアプリは表示されず、UXも悪いです。
私の質問は、この種の攻撃を防ぐ方法と、私たちのサービスをアプリで保護することです。
この質問はStackOverflowにとってあまり理想的ではありませんが、私は同じ問題が一度も発生したので、私は実装を共有していることを覚えています。
はい携帯端末のキャプチャは悪い悪いユーザーエクスペリエンスです。これは避けるべきです。もちろん、キャプチャの実装も避けました。
Dos攻撃は非常に多くの方法で防止することができ、すでにそのために確立された技術がいくつかあります。サーバー側のコンテナ内の特定のIPアドレスからヒットを追跡し、必要に応じてIPアドレスを一時的にブロックすることができます。分散型攻撃の場合、あなたの能力を超えている要求を無視することを検討することがあります。
これはいくつかの簡単な提案です。これらの組み込みサポートに与える可能性のあるファイアウォールをサーバー側に持つことを検討することもできます。 CloudFlareは広く使われているファイアウォールの1つです。
DOS攻撃に対して予防措置を取る可能性のあるオプションが多すぎます。あなたのサーバー側でそれらの1つを選んでください。あなたのウェブアプリケーションの場合は、Googleのre-captchaを維持することを検討するかもしれませんが、モバイルアプリケーションの場合、captchaを表示するという考えは恐ろしいものです。
1:同じIPからのコールを制限するために、エンドポイントへのコールにIPチェックとAPIコールレシオ/秒を設定する必要があります。
2:簡単な方法では、データベースにコールを発信するIPをログに記録してチェックします(呼び出しがWebサーバーレイヤーを通過してからDBに負荷がかかる)。 DDOSに対してあなたを保護する安全なサーバーはありません。
おそらく、いくつかのAPIメソッドを使用して迷惑メールの登録を確認する方が便利でしょう。
例として、このAPIは、スパムのための登録を確認するために、こののhttps://cleantalk.org/help/api-check-newuser
なしには、クライアント側で行うことが多くを持っていないので、私はあなたがタグやサーバー環境を記述するためにあなたの説明を切り替えることをお勧めします。 – CommonsWare
IPによるレート制限が可能で、疑わしい動作のみにキャプチャを表示します。 – SLaks
この種の問題には銀色の弾丸はありません。 IP、キャプチャ、または実際のメールアドレスを持つ必要性だけで登録できるのは、すべて既知の解決策です。 – JFPicard