29P by xguru 4달전 | favorite | 댓글 2개
  • 모든 API는 인증되어야 함. 악의적인 사용자 식별 가능
    → 전체 인증이 불가능 하다면, 익명/비인증 트래픽에 대해서 강력한 제한을 둘 것
  • 싱글 API가 리턴하는 데이터의 양을 최소화 할 것
  • 모든 API를 Rate-Limit 할 것
  • 악성 트래픽이 어플리케이션에 도달하기 전에 필터링 할 것
  • 이상한 URL들 차단할 것
  • 악의적인 IP를 차단할 것 (소수의 합법적인 트래픽이 발생하는 IP일지라도)
  • 블록리스트를 자동화 할 것
  • Tar Pitting은 봇넷과 볼륨기반 공격을 느리게 만드는 훌륭한 방법

"싱글 API가 리턴하는 데이터의 양을 최소화 할 것" 평소에도 공감하고 잘 적용하고자 하는 부분인데 귀차니즘이..

당연한 것들이면서도, 바쁜 와중에 자주 놓치고 가는 것들인 듯도 하네요. 역시 원칙이란 건 그런가 봅니다.