인프런 커뮤니티 질문&답변
작성한 질문수
비로그인 유저도 어뷰징 방지 정책
해결된 질문
작성
·
21
0
안녕하세요 강의 잘보고있어서 감사의 말씀 전하며 질문이 있어 글 남깁니다.
만약 비로그인도 어뷰징 방지 정책을 적용 한다했을때 실무에선 어떻게 처리하나요?
IP나 쿠키, User-Agent 등을 활용한다고 하셨는데,
IP 주소로 처리하기에는 공유망이나 VPN 같은 다양한 접근 방식도 있을 것 같고
User-Agent 나 브라우저쿠기같은경우는 브라우저에서 조작이 가능하기도하고 Pomsman 같은걸로 요청해서 User-Agent 값을 임의로 설정하는등과 같은 방법으로 집계될수도 있을것같은데
1. 그냥 일반적인 조회수만 집계만 하면되는 서비스에선 어떤식으로 처리하는지 궁금하고
만약 정말 빡세게 어뷰징을 처리한다고했을때 서버쪽에서 고유키값을 만들어서 로그인안한유저면 그 키값을 httponly 쿠키로 설정해서 고유키값이 있을때만 조회수가 집계되는 방법도 있을것 같은데 이런방식은 어떤지도 또 다른 괜찮은 방법이 있는지 궁금합니다.
답변 2
0
쵸잉님, 안녕하세요!
비로그인 사용자에 대한 완벽한 해결책은 없습니다.
말씀하신대로 IP는 계속 변할 수 있고, User-Agent와 브라우저 쿠키 모두 조작이 가능한 값입니다.
말씀 주신 http only 쿠키도 마찬가지고요.
User-Agent와 쿠키는 서버에서 지정해둔 값들만 허용하도록 한다면, 조작하는 방법을 모르는 비정상 사용자만큼은 적어도 방지할 수 있습니다.
그래도 조작이 있다면 IP와 같이 매번 바꾸기 어려운 값을 보고, 특정 임계치를 넘어간다면 제한을 걸어버릴 수도 있네요.
도메인의 성격에 따라서 정책으로 풀어내는 것도 방법일 것이고요.
강의에서는 동기적으로 처리하는 방식이지만, 모든 요청을 따로 쌓아놓고 비정상으로 판단되는 요청들은 필터링하는 등의 비동기 전략을 취할 수도 있습니다.
또는, 애초에 비로그인 사용자 요청은 집계 안하거나 어떠한 문제를 풀게 해서 봇이 아닌 사람이라는 사실을 확인시키는 등의 방법들이 있을 것 같네요!
꼭 한 가지 방법으로 해결할 수 있는 문제는 아니고, 시스템 특성에 따라서 다양한 방법을 고민해볼 수 있습니다. 실제로도 여러 방법들을 종합하게 되네요!
0
안녕하세요, 인프런 AI 인턴입니다. 쵸잉님.
비로그인 사용자에 대한 어뷰징 방지 정책 설계는 쉽지 않은 문제입니다. 비로그인 상태에서는 사용자를 명확히 구분할 수 있는 방법이 제한적이기 때문에, 보통은 여러 기술의 조합을 통해 특정 수준의 보안 및 정확성을 추구합니다. 아래에서 일반적인 처리 방법과 더 안전하게 처리하는 방법을 설명드리겠습니다.
일반적인 처리 방법
IP 주소 기반 필터링:
- 가장 쉬운 방법 중 하나로, 동일한 IP 주소로부터의 요청을 일정 시간 내에 제한합니다. 하지만, VPN 또는 프록시의 사용으로 인해 정확성이 떨어질 수 있습니다.
- 가장 쉬운 방법 중 하나로, 동일한 IP 주소로부터의 요청을 일정 시간 내에 제한합니다. 하지만, VPN 또는 프록시의 사용으로 인해 정확성이 떨어질 수 있습니다.
쿠키 및 세션 관리:
- 브라우저에 쿠키를 설정하여 이전에 방문한 기록을 확인합니다. User-Agent와 함께 사용하면 특정 세션의 사용자를 구분할 수 있습니다. 이는 브라우저에 의존하는 점에서 한계가 존재합니다.
- 브라우저에 쿠키를 설정하여 이전에 방문한 기록을 확인합니다. User-Agent와 함께 사용하면 특정 세션의 사용자를 구분할 수 있습니다. 이는 브라우저에 의존하는 점에서 한계가 존재합니다.
캐싱을 통한 중복 체크:
- Redis나 Memcached 같은 인메모리 데이터베이스를 사용하여 최근 조회 기록을 저장하고 중복 요청을 걸러냅니다.
- Redis나 Memcached 같은 인메모리 데이터베이스를 사용하여 최근 조회 기록을 저장하고 중복 요청을 걸러냅니다.
강화된 보안 처리 방법
유일 키(key) 생성 및 쿠키 사용:
- 서버에서 고유의 식별 값을 생성하여 비로그인 사용자에게
httponly속성을 가진 쿠키로 전달하는 방법이 있습니다. 이는 사용자가 브라우저에서 직접 접근하거나 변경할 수 없는 쿠키로 설정하며, 해당 키가 있는 경우에만 조회수를 인정할 수 있습니다. 이는 클라이언트에서의 조작을 방지할 수 있는 좋은 방법입니다.
- 서버에서 고유의 식별 값을 생성하여 비로그인 사용자에게
장기적인 행동 분석:
- 머신러닝을 활용하여 비정상적인 패턴을 분석하고, 비정상적인 활동(짧은 시간 내 과도한 요청 등)을 차단하는 방법도 고려해볼 수 있습니다. 일정 수준 이상의 방문 패턴을 학습하여 자동으로 어뷰징을 감지하도록 합니다.
- 머신러닝을 활용하여 비정상적인 패턴을 분석하고, 비정상적인 활동(짧은 시간 내 과도한 요청 등)을 차단하는 방법도 고려해볼 수 있습니다. 일정 수준 이상의 방문 패턴을 학습하여 자동으로 어뷰징을 감지하도록 합니다.
캡차(CAPTCHA):
- 사용자가 비정상적인 패턴으로 요청을 보내는 것으로 판명된 경우, 추가 확인의 의미로 간단한 캡차를 요구할 수 있습니다.
- 사용자가 비정상적인 패턴으로 요청을 보내는 것으로 판명된 경우, 추가 확인의 의미로 간단한 캡차를 요구할 수 있습니다.
어뷰징 방지는 시스템의 보안 및 성능과 직결되어 있어 목표에 따라 다양한 조합의 방법론을 도입해야 합니다. 유사한 문제를 다루거나 더 깊은 논의를 하는 사례가 있다면, 추가적인 질문 게시판을 참조하시거나 관련 게시물을 추천드립니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.