作为开源Android项目的一部分,我有一个非常简单的Web服务器在Amazon EC2上运行。我们正在考虑将照片拍摄组件集成到应用程序中。此数据将存储在服务器上并提供给其他客户端。
此时,该应用程序是匿名的 - 无需登录即可发布信息。我可能会发现自己不断拍摄照片因为应用程序被拖累了吗?或者我可以依靠标记机制来处理这种情况吗?我从来没有实现过这样的事情,我不知道会发生什么。
我想听听那些已经建立了这样一项服务的人的意见,并且对于向公众开放这样的服务有什么想法。
答案 0 :(得分:1)
如果您在端点上公开了允许在未经身份验证的情况下上传和共享图像的互联网,那么您可能会遇到问题。实际上,即使您需要身份验证,也可能会遇到问题。
我肯定需要某种形式的身份验证,至少在应用程序级别。如果您确实不希望用户必须处理它,您可以生成GUID或其他内容以至少识别已上载的图像。这很容易从攻击者的角度来打败,但如果他们被视为垃圾邮件用户,它会为您提供一些用于删除单个“用户”上传的内容。
您还可以实施一些速率限制,以禁止用户在短时间内上传大量图像。您还可以限制查看图像的次数。
基本上,请像垃圾邮件发送者/攻击者一样思考。他们可以使用您的服务上传可能用于垃圾邮件活动的图片吗?他们可以用它来垃圾邮件给你的用户吗?如果答案是肯定的,那么你需要保护。