Sulla base delle preoccupazioni e affrontando i problemi sollevati qui nel tempo (che dalla lettura sembra essere sistemico su tutto il web negli ultimi mesi) e affrontando nuove ondate di questo materiale.
Ho testato Solo accesso (Login Only), ma ho notato queste ondate di bot AI che colpiscono tutti i tipi di risorse/percorsi di Discourse e potenzialmente ottengono una pagina/contenuti serviti.
Qualcuno può confermare se Solo accesso è un blocco totale o no?
Inoltre esiste un altro angolo di accesso che interagisce con la cache anche quando si elimina tutta la cache dopo la postura Solo accesso?
Quali percorsi specificamente? Qualsiasi cosa venga raggiunta dovrebbe reindirizzare al login.
Sì, solo login significa che l’unico modo per accedere al sito è effettuare l’accesso. È ancora possibile che del traffico bot raggiunga le rotte / o /login, perché queste devono essere pubbliche per consentire agli utenti di accedere, ma sarà limitato a tali rotte.
Come pubblicato nell’argomento collegato, ad esempio:
...stylesheets/docker_manager_abc123.css
In alcuni semplici test ho seguito i link che il traffico stava cercando, e sono stato in grado di scaricare i file css o js e chissà cos’altro, quando discourse era in modalità Solo Accesso.
Ah, capisco, sì, questo è previsto… quelli sono asset statici utilizzati per eseguire l’app, sono spesso memorizzati nella cache per motivi di prestazioni e non contengono informazioni post sensibili.
Ok, capisco, ma forse un blocco totale (lockdown) deve essere considerato in modo approfondito e rapido, per ragioni tecniche non riesco a pensare ad altro che a non lasciare thread che possano essere sfruttati per attacchi DDoS.
Ho appena visto quasi 3K richieste URL univoche che prendevano di mira specificamente il percorso uploads/default/original/3X/c/.../...some.jpeg, tutte lanciate da un singolo IP a Singapore, i percorsi sono corretti, ho campionato alcuni link e sono a file immagine univoci e specifici, ma Cloudflare era impostato per bloccare Singapore interamente.
Per come stanno andando le cose, non dovrebbe essere lasciato nulla esposto che possa essere usato come bersaglio. Blocco totale.