Hallo,
da sich die Hintergrundprozesse langsam aber sicher summieren, knoble ich immer noch daran diese vor Bots zu sichern.
Die Problematik ist mir schon länger bekannt aber mir fällt da leider noch keine Lösung ein!
Es geht mir darum das ein fremder Server via JavaScript POST-Daten senden kann und dies natürlich beliebig lang und oft und da diverse Hintergrundprozesse auch Datenbankabfragen durchführen, könnte das sehr schnell in unnötiger Belastung enden und ggf. den Server in die Knie zwingen.
Meine aktuelle Überlegung ist dies mit SESSIONs zu lösen, vor dem include der config kommt dann ein define('bg_process', true); und in der config selber wird geprüft ob bg_process definiert ist und === true wenn dies zutrifft wird geprüft ob diverse Session keys existieren und vergleiche gemacht. So würde die config im Falle das es nicht definiert ist entsprechende sessions setzten und von einem normalen Aufruf ausgehen.
Ich schätzte man kann aber einen Bot schreiben der die Webseite dann einmal normal aufruft um eben diese Sessions zu erhalten und dann wieder die Attacken durchführen.
Im Grunde bleibt es aber immer der selbe Weg den ein Hintergrundprocess zurüklegt und ich weiß mir da atm einfach nicht zu helfen.
Würde mich freuen wenn ich da von euren Erfahrungen profitieren könnte.
MFG: Pay
::EDIT::
Ach ja natürlich habe ich schon daran gedacht die Anfragen nach Herkunft (HTTP_REFERER) zu blockieren, aber soweit mir bekannt ist kann man den Server ja manipulieren und würde nix bringen und unter Umständen würde es sich mit nem Loadbalancer beissen, denke ich.
da sich die Hintergrundprozesse langsam aber sicher summieren, knoble ich immer noch daran diese vor Bots zu sichern.
Die Problematik ist mir schon länger bekannt aber mir fällt da leider noch keine Lösung ein!
Es geht mir darum das ein fremder Server via JavaScript POST-Daten senden kann und dies natürlich beliebig lang und oft und da diverse Hintergrundprozesse auch Datenbankabfragen durchführen, könnte das sehr schnell in unnötiger Belastung enden und ggf. den Server in die Knie zwingen.
Meine aktuelle Überlegung ist dies mit SESSIONs zu lösen, vor dem include der config kommt dann ein define('bg_process', true); und in der config selber wird geprüft ob bg_process definiert ist und === true wenn dies zutrifft wird geprüft ob diverse Session keys existieren und vergleiche gemacht. So würde die config im Falle das es nicht definiert ist entsprechende sessions setzten und von einem normalen Aufruf ausgehen.
Ich schätzte man kann aber einen Bot schreiben der die Webseite dann einmal normal aufruft um eben diese Sessions zu erhalten und dann wieder die Attacken durchführen.
Im Grunde bleibt es aber immer der selbe Weg den ein Hintergrundprocess zurüklegt und ich weiß mir da atm einfach nicht zu helfen.
Würde mich freuen wenn ich da von euren Erfahrungen profitieren könnte.
MFG: Pay
::EDIT::
Ach ja natürlich habe ich schon daran gedacht die Anfragen nach Herkunft (HTTP_REFERER) zu blockieren, aber soweit mir bekannt ist kann man den Server ja manipulieren und würde nix bringen und unter Umständen würde es sich mit nem Loadbalancer beissen, denke ich.
Kommentar