Parse.com通过超出突发限制的拒绝服务
我已经使用Parse为使用从Parse.com网站下载的iOS SDK创buildiOS应用程序。
为了创build这种应用程序,ApplicationID和ClientID密钥都embedded在iOS应用程序中,并在应用程序使用时从应用程序发送到服务器。 这基本上把ApplicationID和ClientID置于明显的位置,这样任何用户都可以编写一个小程序,它会反复调用我的应用程序的各种Parse apis。
我在分析教程中遵循了所有的安全build议,所有的数据都有适当的angular色和ACL。
但是,一个单纯的用户可以简单地通过调用我的parsing应用程序的loginAPI每秒超过30次来降低我的整个应用程序。
我是否错过了一些东西,或者这是从iOS应用程序使用Parse.com作为后端的致命缺陷?
有没有人有解决这个问题?
通过应用默默无闻的安全性,你总是可以大大减less机会;-)
您可以对您的密钥进行encryption,并将解密function置于JavaScript内部。 通过将这个函数隐藏在一个没有人喜欢的大脚本中,然后缩小JavaScript(你应该这样做),你可以进一步使它更难find。 我相信有可能获得更“有创意”,并达到一些合理的完美:-)
然而原则上,一个足够积极的黑客有可能对你的程序进行逆向工程并获得钥匙。 尽pipe如此,你还是可以做到这一点,所以黑客可能会寻找更容易的目标,其中有很多,因为我们知道;-)
在这里也可以看到更多的想法。