服務器端安全

Question

作爲開源Android項目的一部分，我有一個非常簡單的Web服務器，在Amazon EC2上運行cherrypy。我們正在考慮將拍照組件集成到應用程序中。這些數據將存儲在服務器上並提供給其他客戶端。

此時，應用程序是匿名的 - 無需登錄即可發佈信息。我可能會發現自己經常拍下照片，因爲應用程序正在被拖動？或者我可以依靠標記機制來處理這種情況？我從來沒有實現過這樣的事情，我不知道會發生什麼。

我想聽聽任何人已經建立了這樣的服務，並且對於向公衆開放這樣的服務有什麼想法。

Answer 1

如果您公開端點允許上傳和共享圖像而無需身份驗證的Internet，則可能會遇到問題。事實上，即使您需要身份驗證，您也可能遇到問題。

我肯定會要求某種形式的身份驗證，至少在應用程序級別。如果你真的不希望用戶必須處理它，你可以生成一個GUID或者至少可以識別已經上傳的圖像。從攻擊者的角度來看，這很容易被打敗，但如果他們被視爲垃圾郵件用戶，它會給你一些用來刪除單個「用戶」上傳的內容。

您也可以實施一些速率限制，以避免用戶在短時間內上傳大量圖像。您還可以限制圖片瀏覽次數。

基本上，像垃圾郵件發送者/攻擊者那樣思考。他們可以使用您的服務上傳可用於垃圾郵件活動的圖片嗎？他們可以用它來發送垃圾郵件嗎？如果答案是肯定的，那麼你需要保護。