URLs de API RESTful y ataques de denegación de servicio

3

Escuché la siguiente declaración hoy:

  

No debemos usar / api (por ejemplo, en una URL de RESTful como / api / v1 / users / get) en nuestras URL de RESTful, ya que hace que sea más fácil para las personas atacar nuestro sitio. Si solo le damos un nombre como / users / get, es menos probable que la gente piense que es una API y, por lo tanto, no nos molestará DOS.

Pensé que esto era una afirmación loca y señalé que los sitios web grandes como Twitter usan este mismo formato de URL, a lo que la persona respondió

  

El hecho de que lo hagan no significa que esté bien

¿Hay algún mérito en absoluto en la declaración de esta persona? Estoy completamente en desacuerdo con él. ¡Diría que si alguien intentara atacar DOS a nuestro sitio, entonces un formato de URL diferente en nuestra API no los detendrá!

    
pregunta jcm 10.02.2014 - 11:50
fuente

1 respuesta

7

Su sugerencia es simplemente Security by Obscurity . Como usted señala, un atacante determinado no se vería afectado por esto y corre el riesgo de darle una falsa sensación de seguridad.

Si le preocupan los ataques de denegación de servicio, debe investigar soluciones más sólidas.

Opinión de Schneier al respecto:

  

Solía censurar los sistemas de seguridad secretos como "seguridad por oscuridad". Ahora lo digo con más fuerza: "oscuridad significa inseguridad".

enlace (14 de febrero de 2014)

    
respondido por el RJFalconer 10.02.2014 - 11:58
fuente

Lea otras preguntas en las etiquetas