セキュリティ上の欠陥がいくつか継承されている小さなオンラインポータルを再作成しようとしています。特に、ネットワークアーキテクチャとロードバランサのために、アプリケーションは要求元のIPアドレスにアクセスできません。通常、私は、それぞれの固有のアドレスからの要求数に制限があると主張しますが、これに対してはいくつかのアクセス権を持つ狂気の範囲を考えれば、すべての最善の解決策ではないかもしれません。ユーザーのIPアドレスにアクセスしないでHTTPSインターネットポータルを保護していますか?
バランサでアドレスごとのオープン接続の数を制限することができますが、それでも私はブルートフォースに開放されています。
私はn回の試行後にアカウントをロックアウトすることを躊躇しています。これは、これが正当なユーザーを引き起こすことになりますが、これを実装する方法のほんの少しのようです。
簡単に各ユーザに一意のIDを割り当て、X-Forwarded-Forヘッダを捕捉するためにHTTP接続に短時間でバウンスさせてからHTTPSに戻すことを考えましたが、あまりにも悪い選択かもしれないようですMITMはこれを簡単に傍受してセッションを乗っ取ることができます。 ITエンジニアはこの限界にどのように対処していますか?
追加:使用しているロードバランサは、1秒あたりの接続数を減らすことができます。これは助けになりますが、依然として一定期間に渡って無効な要求が不審な量になる可能性があります。しかし、時間が今私たちが使用できる要素であるようです。