Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

AWS Api Gateway, Lambda & SES

[es] :: Cloud Computing Services :: AWS Api Gateway, Lambda & SES

[ Pregleda: 1271 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon AWS Api Gateway, Lambda & SES11.06.2019. u 13:21 - pre 58 meseci
Ispratio sam još ranije neko slično uputstvo ovome, možda čak i to
https://aws.amazon.com/blogs/a...on-api-gateway-and-amazon-ses/

Napravio sam kontakt formu i radi savršeno, pošaljem i primim email.

E sad... sa security strane mi je malo nejasno jer čak i kad u lokalu imam ovu formu uspešno šaljem email isto kao i sa statičkog S3 sajta.

Što znači da svako ko pročita source moje stranice, može da iskoristi taj API i da šalje emailove.
Doduše ne može baš da bira na koje emailove da šalje, jer je to u kodu koji je postavljen na Lambda.
Ali me interesuje kako bih mogao ovo dodatno da obezbedim.
Da li neki policy da taj API može da se koristi samo sa određenog S3 bucket-a? Mada verovatno ne može... jer to izvršava lokalni JS koji je pokrenut sa nekog klijentskog računara.

 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
82.117.201.26



+1064 Profil

icon Re: AWS Api Gateway, Lambda & SES11.06.2019. u 14:45 - pre 58 meseci
Koliko se secam da bi koristio SES moras da posaljes kljuc koji cuvas na serveru, a koji dobijes kada registrujes nalog, to valjda neces dati?

edit:
svakako da bez neke security mere ne bi smeo da saljes iz prostog JS-a.
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: AWS Api Gateway, Lambda & SES11.06.2019. u 14:56 - pre 58 meseci
Misliš na verifikaciju domena ili emaila?
Ja sam za sad samo radi testa uradio verifikaciju sa emaila, a email je gmail.

Ako misliš na IAM Access key, to u ovom slučaju i ne koristim

Nemam ideju kako da na "serverless" sajtu napravim kontakt formu koristeći SES, a da nije JS u pitanju.

[Ovu poruku je menjao CoyoteKG dana 11.06.2019. u 16:54 GMT+1]
 
Odgovor na temu

mjanjic
Šikagou

Član broj: 187539
Poruke: 2679



+690 Profil

icon Re: AWS Api Gateway, Lambda & SES11.06.2019. u 20:19 - pre 58 meseci
Zavisi da li je zaštita od botova (softvera) ili od ljudi.

Za ovo prvo ubaciš neko skriveno polje, pa ako je popunjeno, odbaciš submission na strani "servera".
A za ovo drugo, ima raznih načina... ima poprilično literature na tu temu, npr. https://github.com/OWASP/Cheat...gery_Prevention_Cheat_Sheet.md


Blessed are those who can laugh at themselves, for they shall never cease to be amused.
 
Odgovor na temu

anon70939

Član broj: 70939
Poruke: 2823



+6883 Profil

icon Re: AWS Api Gateway, Lambda & SES11.06.2019. u 22:25 - pre 58 meseci
Od botova mogu tako kako si rekao plus reCaptcha.

A od ljudi generalno, možda mi ni ne treba nikakva zaštita u ovom slučaju.
Kako zaštititi neki otvoren “api”? Neko može i na običnoj php formi da me spamuje. Onda ga blokiram sa fail2ban recimo. Dok za ove “serverless” stvari ne bih mogao da koristim fail2ban nego bih verovatno morao da pišem nešto i čitam logove pa blokiram nekako (mnogo nešto/neke/nekako u jednoj rečenici :D )

Bilo bi glupo recimo ako hoću da moja forma osim meni šalje potvrdu i na mail onog ko je popunio formu. Pa da neko to zloupotrebi i tako šalje spam. Iskoristi lepo taj kod pošto je JS, skloni recaptcha, to “nevidljivo polje” i onda udri po svojoj subscriber listi...

Slabo kapiram kako funkcioniše to sa apijem bez auth, šta može da se zloupotrebi... Ovo su samo moja prosta nagadjanja.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23



+1064 Profil

icon Re: AWS Api Gateway, Lambda & SES12.06.2019. u 05:54 - pre 58 meseci
Citat:
CoyoteKG:
Misliš na verifikaciju domena ili emaila?
Ja sam za sad samo radi testa uradio verifikaciju sa emaila, a email je gmail.

Ako misliš na IAM Access key, to u ovom slučaju i ne koristim

Nemam ideju kako da na "serverless" sajtu napravim kontakt formu koristeći SES, a da nije JS u pitanju.

[Ovu poruku je menjao CoyoteKG dana 11.06.2019. u 16:54 GMT+1]


Ma pisao sam neki progi za slanje preko SES, ne znam kako je sada, tad je trebao da se kriptuje kljuc i posalje
uz mail. Onda su presli na cist SMTP gde je trebao TSL uz kredencijale, a sad ne znam sta su smislili.
U svakom slucaju ako mozes da posaljes mail bez kredencijala, nece da valja.
 
Odgovor na temu

[es] :: Cloud Computing Services :: AWS Api Gateway, Lambda & SES

[ Pregleda: 1271 | Odgovora: 5 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.