Limiter le nombre d'alertes de type emergency

[julien2512]

Croisé avec #13 (à discuter) et #15, cela permettrait de ne pas avoir à implémenter #10.

[cquest]

Eviter la saturation par un "flooding" d'alertes bidon semble nécessaire. Le fonctionnement totalement ouvert de l'API publique OEDB possède effectivement un risque de ce côté.

2 flooding possibles:

• en alertes du type attendu par un client spécifique ou une série de clients (le cas envisagé ici)
• en nombre d'alerte... pour saturer OEDB (cas plus général de type DOS/DDOS)

Des idées ?

[julien2512]

Je raisonne tout haut, mais ce n'est pas encore abouti.

Je propose déjà de retourner les résultats par ordre d'aire décroissante (les plus petits en premier) pour éviter d'être saturé par des évènements de grande ampleur. Les plus précis priment ! Et limiter le nombre de résultats renvoyés au client. Cela permet de ne pas avoir à vérifier 150 signatures à chaque appel.

Pour le point 2, un outil type fail2ban et un WAF (à choisir) feront l'affaire ?

[julien2512]

La mise à disposition d'indicateurs de supervision concernant le nombre d'éléments créés par type d'alerte permettrait de détecter un problème. Mais comment corriger ?

[julien2512]

Deux idées à priori retenues :

1. les alertes ne peuvent être émises que dans l'instant présent ;
2. la quantité d'alerte est simplement surveillée ;
3. une limite est positionnée pour les alert.emergency au delà de laquelle seule les personnes autorisées peuvent créer. La limite n'est pas encore déterminée ;