Учитываете ли вы интенсивность запросов от пользователя и как защищаете приложение?
У меня в приложении пользователь авторизовывается и может совершать некоторые действия. В частности, загружать фотографии. Фотографии загружаются в реальном времени через ajax. На сервере фотографии ресайзятся.
И вот я подумал, что злоумышленник может просто авторизоваться, получить токен для авторизации, написать скрипт, который будет от его имени слать огромное количество картинок и положит сервер. Вот так вот просто.
То есть достаточно найти самую ресурсоемкую операцию и завалить сервер большим количеством запросов на нее.
Тут можно было бы использовать очереди. Они спасут сервер от перегрузки, потому что все эти картинки не будут обрабатываться одновременно, но все равно заблокируют работу, потому что вся очередь забьется картинками злоумышленника и картинки обычного пользователя встанут в конец очереди.
Вот такой банальный вопрос пришел в голову. Подскажите, учитываете ли вы как-то подобные ситуации? Нужно ли их учитывать заранее? Или может быть хостер берет на себя работу по блокировке таких атак (хотя бы примитивный, когда кто-то запустил скрипт со своего домашнего ПК)? При DDos атаке, хостер (Hetzner) сам выявил и заблокировал такую атаку. Но тогда речь шла о обычных запросах, которые не загружают сервер. А запросов с загрузкой картинок нужно было бы на порядок меньше, чтоб сервер упал.
Спасибо.
Средний
