Hvis et API kald forlanger autentificering ved hver forespørgsel, så er det i min simple udvikleroptik da muligt at afslutte forespørgslen allerede inden den sætter de bagvedliggende microservices i gang.

Der må være en twist på den historie som jeg enten ikke forstår, eller som ikke er kommet med i oversættelsen.

Det er klart at hvis man udstiller en service på nettet uden filter så kan den hurtigt sættes under pres, men det kan umuligt være en så simpel ting Netflix bøvler med.

Det kan være at Netflix overvejer at åbne deres API igen?

Så kan få konti der ikke vil blive fanget som alm. DDOS (fordi antallet af requests er lav), lave meget arbejde fordi de laver requests der er "komplekse" og sjældne (ikke cahced).

Blandt Netflix' klienter er der jo almindelige browsere, med helt almindelige HTTPS forbindelser. Derfor er det jo ingen sag (for en indlogget bruger) at finde ud af hvilke databærende, "tunge" services, der kan kaldes (hint: Din favoritbrowsers Developer Tools, Network-fanen), og gentage disse kald i parallel med samme parametre (hint: "Copy as cURL").

Det er jo i princippet nok til at skaffe viden om denne type sårbarhed (men efterlader selvfølgelig informationer om hvilken bruger, der gør det -- så lad være).

OK, jeg troede logikken i mit indlæg var indlysende nok.

Men skal nok skære det mere tydeligt ud ;)

Benytter du autentificering på alle API kald kan du lynhurtigt identificere synderen og tage de nødvendige forholdsregler for at dæmme op for problemet.

Mht. at åbne op for API så bør det, igen i min simple udvikler optik, aldrig være mere åbent end at du benytter en eller anden form for nøgle til at identificere en given bruger.

Årsagen til at man vil åbne op for enhver form for API er jo at man vil give andre udviklere muligheden for at benytte ens data og infrastruktur på en anderledes måde, og dermed eventuelt også på en uhensigtsmæssig måde. Hvis ikke man har en bremse på det så ligger man også som man har redt.

Enig, og de store platforme går da også den vej - men...

... mens det er fint nok fsva opfølging på angreb (I scenariet hvor det er en enkelt bruger, der går amok med sit eget login), handler artiklen netop om prævention, ikke kur. Hvis angriberen f.eks. har et botnet af zombier med gyldige Netflix-logins, er du stadig chanceløs.
Hvis du skal automatisere afværgeaktionen er du nødt til at beregne "omkostningen" per brugerkald og rate-limitere derigennem, og så har du jo bare fået et nyt skaleringsproblem.

Som udvikler håber jeg bestemt at Netflix fortsat vil køre den åbne stil hvor de både deler ud af erfaringer og kode.