Re: [請益] REST 網站 api 安全性

作者: brucetu (sec)   2016-10-02 14:55:19
分享一些從爬蟲開發角度
看這件事情的想法
1. SPA網站
2.
request與response都打亂,迫使爬蟲開發必須爬JS找入口, 否則api吐回來也是一堆看不
懂的大便
3.
JS打亂是一定要,不只工具打亂,開發上也故意寫得可讀性很差。
4.
讓JS在IE核心無法執行,使開發者不能用.net webbrowser模擬操作。
做到以上四點,爬蟲已經相當辛苦且效率差,加上不可避免要用server後端跑爬蟲,你就
可以從IP及agent下手逼迫他不斷pppoe。
做完這些後,你只要專心把平台做到第一,再有老二要撈你資料搶生意,也不用管他了。
電商吃得飽的,只有第一。
作者: neo5277 (I am an agent of chaos)   2016-10-02 15:02:00
這摸競爭,如果走高單價封閉式的服務呢?
作者: dnabossking (少狂)   2016-10-02 15:03:00
不知道也,防爬:直接做成flash,防api被接:設計一個一次性的key,做驗證。這樣也防不了嗎?
作者: pttworld (批踢踢世界)   2016-10-02 15:16:00
3.應該有二份。
作者: brucetu (sec)   2016-10-02 15:39:00
flash可以防爬,但是原原po說他要顧使用者體驗,flash最近爭議有點大,怕chrome.ff哪天不支援了
作者: abccbaandy (敏)   2016-10-02 16:02:00
基本上就是弄得麻煩點,人家懶得"搞"你了XD話說最近碰到用openid登入,然後token只有24hr...然後那個token今天叫key,隔天叫auth_id XD
作者: turtleknight (turtle)   2016-10-02 16:46:00
5.然後你就自爆惹
作者: jlhc (H)   2016-10-02 19:54:00
你這設計我也覺得會自爆...
作者: manaup   2016-10-02 21:57:00
這麼麻煩 我都學Yahoo做錯誤999 或是對爬蟲送假資料爬蟲一切運作正常可是資料有時真有時假才是最麻煩的
作者: knives   2016-10-03 12:05:00
這樣不會 過度設計了嗎
作者: abola921 (南港金城武)   2016-10-03 12:57:00
放假資料就好了阿,真的不用設計那麼多啦開放在外的api,再怎麼防你也防不了的唯有假資料,可以嚇阻
作者: bndan (seed)   2016-10-03 14:04:00
其實只要做到逼對方解JS 加上JS不是常用的第三方..這門檻就很容易高到讓對方再找其他源頭了
作者: konanno1 (konanno1)   2016-10-03 18:28:00
水喔

Links booklink

Contact Us: admin [ a t ] ucptt.com