আপনি প্রতিটি গ্রাহককে একটি ব্যক্তিগত কী সরবরাহ করবেন না যদি আপনি স্বতন্ত্রভাবে প্রত্যাহার করতে পারেন তবে আপনি সংযোগগুলি কার্যকরভাবে বাতিল করতে পারবেন না। তবে এটি সম্ভবত ওভারকিল। আপনার যদি বুলেটপ্রুফ সমাধানের দরকার হয় না তবে বেশিরভাগ লোক যদি বুলেট চালাতে বিরক্ত না করে।
এটি একটি সুরক্ষা প্রশ্ন, সুতরাং আসুন একটি হুমকির মডেল এবং প্রশমন কৌশলগুলি বর্ণনা করি।
মনে করুন আপনার কাছে এমন একটি URL রয়েছে যা আপনার কাছে লক্ষণীয় ব্যয় করতে পারে (যেমন প্রক্রিয়াজাতকরণের ব্যয়) এবং আপনি এটি একটি সাধারণ ডস আক্রমণ এবং কপিরাইট অ্যাপ্লিকেশন উভয় থেকে রক্ষা করতে চান।
সংযোগটি সহজে বিশ্লেষণ করা থেকে আড়াল করতে SSL ব্যবহার করুন। আপনি অনুরোধটির ব্যয়বহুল অংশটি করার আগে সংযোগটি কিছুটা জটিল করার জন্য একটি অ-ওভিভিউস পোর্ট নম্বর, একটি পুনর্নির্দেশ ক্রম, একটি কুকি এক্সচেঞ্জ ব্যবহার করুন। আপনার অ্যাপ্লিকেশনটিতে বেকড কিছু গোপন কোড ব্যবহার করুন যাতে সংযোগটি গ্রহণ করতে হবে সার্ভারকে জানাতে।
এখন কেউ প্যাকেট স্নিফার চালিয়ে বা আপনার কোডটিতে ইউআরএল-জাতীয় স্ট্রিং দেখে ব্যয়বহুল থেকে হিট ইউআরএল শিখতে পারে না। একজন সম্ভাব্য আক্রমণকারীকে আপনার অ্যাপ্লিকেশনটি ছড়িয়ে দিতে হবে।
আপনি সত্যই আপনার কোডটি বিগলিত হওয়া এবং / অথবা কোনও ডিবাগারের অধীনে চালানো থেকে রক্ষা করতে পারবেন না। আক্রমণকারী অবশেষে গোপন কী এবং সংযোগের অনুক্রমটি শিখে ফেলে।
আপনি লক্ষ্য করেছেন যে আপনি আপনার ব্যয়বহুল ইউআরএলে রাউজ অনুরোধগুলি গ্রহণ করতে শুরু করেছেন: হয় আক্রমণ হিসাবে বা কোনও কপিরাইট অ্যাপের আকারে যা চালাতে আপনার পরিষেবাতে অ্যাক্সেস করতে হয়, অথবা কোনও শোষণ কোড প্রকাশ্যে পোস্ট করা হয়। যদিও আপনি বৈধ অনুরোধ থেকে দুর্বৃত্ত অনুরোধটি বলতে পারবেন না।
একটি আলাদা গোপন কী সহ আপনার অ্যাপ্লিকেশনটিতে একটি বিনামূল্যে মাইনর আপডেট তৈরি করুন update এটিতে কোনও ভিন্ন ব্যয়বহুল ইউআরএল হিট করা উচিত যা আপোষযুক্ত ব্যয়বহুল URL হিসাবে একই ডেটা পরিবেশন করে। কিছু সময়ের জন্য উভয় ইউআরএলকে অ্যাক্সেসযোগ্য করে তুলুন।
আপডেট হওয়া সংস্করণে আপনার ব্যবহারকারীর বেস স্যুইচটি দেখুন। আপোষযুক্ত ব্যয়বহুল ইউআরএল থ্রটল করুন এবং শেষ পর্যন্ত এটি 404। আপনি সুনির্দিষ্টভাবে খুব বেশি ক্ষতি না করে সুরক্ষা লঙ্ঘন সরিয়ে দিয়েছেন। এক বর্গ ফিরে।
দাবি অস্বীকার: আমি সুরক্ষা বিশেষজ্ঞ নই।