ブラウザとボットのホワイトリスト登録は実用的なアプローチですか?
ブラックリストに登録すると、イベントを監視して望ましくない動作を発見し、修正アクションを実行するのに十分な時間がかかります。できれば、そのような日々の退屈な仕事は避けたいと思います。ホワイトリストが答えになると考えていますが、それがすべてを拒否するという性質のために賢明なアプローチであるかどうかはわかりません。最終的にそこにいる誰かが意図せずにブロックされるのは私の恐れです。それでも、ホワイトリストは、Google Custom Search APIなどの使用ごとに支払う多くの不要なトラフィックをブロックし、帯域幅と健全性を維持します。
私はApacheを実行していませんが、考えは私が仮定しているものと同じです。基本的に、誰が訪問を許可されるかを判断するために、ユーザーエージェント識別子に依存します。
一部のWebブラウザーは障害のあるユーザー向けに調整されているため、現時点では特定のWebブラウザーを認識していないため、アクセシビリティを考慮しようとしました。
サイトを危険から保護するために、ホワイトリストのみに依存する必要がないことは完全に理解されています。サイトを保護するためのその他の手段がまだ必要です。ハニーポット、チェックボックスCAPTCHA、OWASP ESAPIの使用、および以前の既知の不良IPアドレスのブラックリスト登録を予定しています。
アクセスを少数のユーザーに制限している場合、ホワイトリストが最も安全な方法です。管理が簡単で、アクセスを許可するユーザーを文字列で区切ることができます。たとえば、実際にアクセスする必要のある人はほとんどいないため、ワイヤレスルーターにはMACアドレスホワイトリストを使用しています。
全世界のように大勢のユーザーを対象にしている場合、ホワイトリストの実行はもはや不可能です。その時点で、ビジネスルールに応じてより複雑になります。 Webサイトに安全な領域がある場合は、ユーザー認証システムを設置し、ベストプラクティスを使用していることを確認する必要があります(例:notMD5を使用パスワードのハッシュ)。 XSS攻撃やSQLインジェクションなどを防ぐために最善を尽くします(言い換えれば、サイトはうまく構築されています)。
その後、これらの基本的なセキュリティの問題を超える問題が発生した場合、意図しない望ましくない副作用がある可能性があることを理解した上で、より抜本的な対策を検討することができます。ボットのブラックリスト登録は必ずしも悪いことではありません。彼らの正しい考えの誰もが、嫌われたボットのふりをしてネットをサーフィンすることはありません。 I htaccessファイルで既知のボットのブロックをブロックする 正当なトラフィックを損なうことなく安全であると感じているため。 htaccess firewall のようなものも、良いユーザーに影響を与えることなく、悪い人を締め出す安全な方法です。
ブラウザをブロックすることは無意味です。なぜなら、ユーザーエージェントはなりすましであり、ブラウザはそれ自体に害を及ぼすことができないからです。
IPをブロックするのは難しいところです。 1つのIPアドレスのブロックに悩まされている場合は、おそらく大丈夫です。既知のスクレイパーサイトのいくつかのIPがブロックされています。ただし、攻撃者は常にIPを変更するため、IPをブロックすることは常に効果的なソリューションとは限らないことに留意する必要があります。 IP範囲をブロックすると、地域全体や人々のグループ全体をブロックするため、さらに危険です。これには通常、正当なユーザーをブロックするという意図しない副作用が伴います。この方法は、通常、特定の地域(通常は国)向けのWebサイトまたは高リスク地域(アジア、中東、アフリカ)をブロックするeコマースサイトに任せるのが最適です。それ以外の場合、これは常に最後の手段であり、その場合でもブロックを解除できるかどうかを確認する必要があります。