Можно ли скрыть API endpoint от ботов?

Question

[Вадим]

Привет всем,

существуют ли такие способы разработки фронтэнд приложения, чтобы во время его работы в проде, ботам было сложнее определять путь к api endpoint, например отвечающий за login page - это уменьшит число ложных срабатываний

с уважением,
Вадим

Comments

[FanatPHP]

что значит "скрывать во время разработки"?

[Dr. Bacon]

FanatPHP, ТС настолько высок, что не будет давать уточнений

[Вадим]

FanatPHP, скрывать во время работы приложения... не совсем может понятно написано

Answer 1

[SKEPTIC]

Шифровать его) Ключ передавать как-нибудь на клиент в js и расшифровывать)
Это если бот не выполняет эмуляцию реального юзера.

А если выполняет и не хочешь морочиться с шифрованием - закрой доступ для левых IP. Но это тупо закроет доступ к API ботам, а не скроет его адрес.

Comments

[Вадим]

а правда можно зашифровать api endpoint и передавать его с помощью js? Это шутка или есть варианты реализации?

[Ukrainskiy]

Вадим, ну вы можете сделать что-то вроде /fsdf/wefvomw. Только бот "общего назначения" все равно туда накидает чего-нибудь вам

[SKEPTIC]

Вадим, почему нет? Шифруешь каким-нибудь aesом url и кидаешь его в js в переменную endpoint допустим, в другую переменную key кидаешь ключ для расшифровки, при запросе на сервер расшифровываешь url и кидаешь туда запрос. Но это не сработает против ботов с эмуляцией. Эмулируется браузер, твой js расшифрует url и сделает запрос, бот получит все url куда были сделаны запросы.

[Dr. Bacon]

Серьезно? Звучит как бред и придумывания решений для несуществующей проблемы.

[FanatPHP]

Dr. Bacon, не важно, они с автором нашли друг друга
тут много таких фантазеров бегает, один выковыривает из носа проблемы, а другой, из того же источника - решения.
и совершенно не важно что как только надо будет обратиться к этому "зашифрованному" урл, то он окажется как на ладони
зато можно почувствовать себя крутым специалистом решающим сложные проблемы.

[Dr. Bacon]

FanatPHP, да тут весь смысл вопроса поменялся, когда автор его поправил

[FanatPHP]

Dr. Bacon, да какая разница, оно и так и так глупость

[Вадим]

FanatPHP, кроме Владимир Коротенко никто ничего нормально не посоветовал, вы только воздух сотрясаете !

[FanatPHP]

почему-то у всех убогих один и тот же лексикон
ну то есть понятно почему
но все равно забавно

Answer 2

[Владимир Коротенко]

если в форме логона есть /account/login

то нет.

Но бороться можно.
Первое это капча на второй неверный логин и на первую регистрацию.
Второе это UserAgent header это конечно отсечет всех самых тупых, но и то мясо
третье это увеличение времени в 2 раза при каждой неудачной попытке логина
четвертое логирование адресов и добавление их в черный список, возможно с тайм лимитом

Это все относится к публичным апи типа логина или поиска

Все остальные просто посылают если нет токена

Comments

[Dr. Bacon]

не могут боты "общего назначения" определять пути к api, им минимум надо выполнить js код Автор что-то не договаривает

[Вадим]

Два уточнения:
1) третье это увеличение времени в 2 раза при каждой неудачной попытке логина - это реализовано через waf или самим кодом? Или может через api gateway?
2) Все остальные просто посылают если нет токена - что имеется ввиду, кто посылает?

[Владимир Коротенко]

Вадим, все это в коде. Саму концепцию waf я считаю ущербной. Какое то внешнее приложение делает догадки как должно быть используя кучу ресурсов.

1. да в коде вашего api
2. тоже ваше api

Тут еще уточнение на сервере формируйте ключ для клиента, если он первый раз то выводите капчу, если во второй и не передал ключ то в игнор. Смысл в том что в первом запросе вы для анонимного запроса делаете уникальный ключ, а клиент уже им подписывает , если подпись не совпадает то это бот

[Владимир Коротенко]

Dr. Bacon, login path and search могут это обычно никто не прячет и эндпоинты на поверхности

[Dr. Bacon]

Владимир Коротенко, "обычные" url да, но тут разговор про api, там вариантов много, ну и лучше конечно не гадать, а ТС ничего не сообщает

[Владимир Коротенко]

Dr. Bacon, гадать в общем то не нужно
нужно скрапить общедоступные адреса и смотреть ссылки и формы

[Dr. Bacon]

Владимир Коротенко, а блин, еще текст вопрос поменял, там сначала было "скрывать во время разработки". Короче самое просто и быстрое сделать ограничение на уровне вебсервера, например limit_req_zone у nginx Вадим

Answer 3

[FanatPHP]

Нет

Comments

[Владимир Коротенко]

FanatPHP ответ. Вы как всегда категоричны и бессодержательны. Добрый вечер

Answer 4

[Ukrainskiy]

Если кто-то захочет написать бота для вашего API, он напишет. Так что советую не париться. Ну или начинать с другого конца, бороться с ботами по факту, использовать механизмы их выявления и блокировки.

Comments

[Вадим]

большинство ботов общего назначения, я говорил про них...

[Dr. Bacon]

Вадим, прям вот так боты находит endpoint API для логина и его долбят? Как-то очень странно, ни разу такое не видел. Или ты что-то не договариваешь

[Ukrainskiy]

Dr. Bacon, я тоже таких не встречал. Спамеров в формы - миллионы, но чтоб в api методы долбились еще не было.