Open julien2512 opened 8 years ago
Eviter la saturation par un "flooding" d'alertes bidon semble nécessaire. Le fonctionnement totalement ouvert de l'API publique OEDB possède effectivement un risque de ce côté.
2 flooding possibles:
Des idées ?
Je raisonne tout haut, mais ce n'est pas encore abouti.
Je propose déjà de retourner les résultats par ordre d'aire décroissante (les plus petits en premier) pour éviter d'être saturé par des évènements de grande ampleur. Les plus précis priment ! Et limiter le nombre de résultats renvoyés au client. Cela permet de ne pas avoir à vérifier 150 signatures à chaque appel.
Pour le point 2, un outil type fail2ban et un WAF (à choisir) feront l'affaire ?
La mise à disposition d'indicateurs de supervision concernant le nombre d'éléments créés par type d'alerte permettrait de détecter un problème. Mais comment corriger ?
Deux idées à priori retenues :
Croisé avec #13 (à discuter) et #15, cela permettrait de ne pas avoir à implémenter #10.