Ochrona przed Bruteforcami - rate limiting

Blokowanie na IP to dość głupie rozwiązanie jeśli korzysta się z proxy/vpn albo i internetu mobilnego.

Ja korzystam z VPN, aby połączyć się z panelem v3. W panelu Multicraft (taki panel, który można sobie kupić) jest taka możliwość, lecz jest strasznie uciążliwa - mój kolega zapomniał hasła, a musiał szybko wejść do panelu i został zablokowany na parę minut :/ Moim zdaniem taka funkcja jest przydatna, lecz też są minusy ;)

Najlepiej mieć aktywowany google authenticator, kiedy to już będzie dostępny :v

W panelu v3 jest już zaimplementowany rate limiting który ogranicza liczbę żądań w danym czasie. Daje to przynajmniej minimalne zabezpieczenie dla tego typu sytuacji plus zmniejsza szansę na wyczerpanie się zasobów czyli niedostępność czy spowolnienia.

Wystarczy pospamować sporo F5 na https://demoapi.lvlup.pro/ aby zobaczyć to w akcji.

Zostaną dodane też bardziej restrykcyjne dodatkowe ograniczenia dla operacji typu próba logowania czy ilość zakładanych kont.

@SystemZ po wejściu w link https://demoapi.lvlup.pro/ mam coś takiego to normalne?

{"endpoints":{"/v3/me":"Information about account","/v3/auth/login":"Get JWT token for auth","/v3/auth/register":"Register new account","/v3/auth/time":"Time on server, unix timestamp in seconds","/v3/vps":"List of VPS on account","/v3/vps/{id}":"Live info about CPU, RAM etc.","/v3/ip":"List of IP on account","/v3/ip/ddos":"List of attacks on IPs"}}

Tak ma to działać??

Tak, wszystko jest spoko. To lista linków w API choć dawno już jej nie aktualizowałem. Pewnie dziwą Cię te \/ w przeglądarce. To kwestia escape'owania znaku / jak sądzę:

http://stackoverflow.com/questions/1580647/json-why-are-forward-slashes-escaped

Panel v4 już też obsługuje podstawowy rate limiting: https://lvlup.rok.ovh/t/zmiany-techniczne-2019/9563/#193?u=systemz

Zostały do wprowadzenia dodatkowe limity w czasie aby zamknąć ten wątek:

• limit nieudanych logowań dla danego konta użytkownika
• limit nieudanych logowań per adres IP / podsieć