ブラウザ拡張：API呼び出しを保護する方法

Question

私のMEANサーバー（ - > node.js）と（GETおよびPOST）データを交換するはずのブラウザ拡張に取り組んでいます。私は拡張機能をバイパスし、悪意のあるソフトウェア/サーバー/個人がデータを直接送信/要求することから生じるDDOS攻撃や同様の脅威を避けるために、サーバー側のAPIルートを保護する方法について疑問を抱いていました。

私は（/ HTTPS接続を介してPOSTをGET）各コールに含まれる必要があり、いくつかのトークンを採用するつもり：

• 目に見えない私の延長と白 - の内側にハードコードされている静的な拡張IDのハッシュ例えばEXT_IDように、サーバ側で記載されている：所定の期間におけるユーザ/伸長当たり要求の量を制限e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

• ハッシュユーザ名様および塩漬けユーザーの資格情報（拡張設定内の入力フィールドを介してユーザによって提供され、ローカルに保存されている）、：e3b0c44298fc1c149 [...]、パスワード：da39a3ee5e6b4b0d3255bfe [...]

私は期待していましたこの分野の経験豊富な専門家によるいくつかのインプットと建設的な批判のために、このアプローチを承認したり強化したり、あるいは合理的な代替案を提案することさえできます。

Answer 1

目的は、無効なリクエストをすばやく破棄できるようにすることです。あなたが得る最高の投資収益率は、キャッシングと徐々に遅れていくことです。

あなたができることの1つは、リクエストごとにタイムスタンプと組み合わせて値をハッシュまたは暗号化することです。これは、クライアントが行う各要求が、送信された時間に基づいて一意の値を持つことを意味するため、要求ごとに一意である必要があります。これはまた、リプレイ攻撃を防止するために、ユーザーに少しのセキュリティを追加します。

Answer 2

DDOS攻撃に

APIレベルの制限を避けるためには、低速（リソース集中型）のAPIを利用したDoS攻撃から助けます。その場合、単純なログイン要件とユーザーごとのレート制限で十分です。

これらは、ネットワーク接続、カーネルリソース（TCP接続）、またはTLSレイヤ（暗号化ハンドシェイク）やアプリケーションのネットワークIO部分を攻撃する攻撃に対しては無意味です。

私の内線をバイパスし、悪意のあるソフトウェア/サーバー/個人が直接データを送信/要求することによって発生します。

目に見えない基本的に

私の延長の内側にハードコードされている[...] IDのハッシュ、何があっplannningしていることはできません。ブラウザーはオープンプロトコルを使用しており、デバッグ可能です。拡張機能が送信するものは、スクリプトで複製することができます。

拡張機能を外部ソフトウェアで複製できないようにしようとすると、基本的に破られないDRMを発明するように求められます。