%20para%20servi%C3%A7o%20de%20demonstra%C3%A7%C3%A3o.png)
Um cliente tem um serviço que requer um pouco de javascript para ser adicionado à página de um cliente. Como ferramenta de marketing para mostrar clientes em potencial, criei um aplicativo web que demonstra como ficaria a página do cliente com o javascript do meu cliente. É muito legal e a equipe de vendas adora!
O aplicativo usa um proxy reverso (mod_proxy) para fazer com que o site do cliente pareça estar em nosso domínio, para que o aplicativo possa adicionar o javascript sem restrições de script entre sites. Agora está limitado a usuários autorizados.
Esta configuração funcionou bem – talvez muito bem! Agora o CEO quer disponibilizar essa ferramenta para qualquer pessoa em sua página inicial. Mas como todos sabemos...
Os proxies reversos abertos são quase universalmente ruins.
Existe alguma maneira de proteger um de forma a tornar possível este aplicativo de demonstração? Ou seja, prejudicá-lo de uma forma que o torne inútil para spammers e hackers, mas suficientemente bom para mostrar algumas páginas de demonstração a potenciais clientes?
Algumas ideias que tive
- Permitir que apenas um número X de arquivos seja proxy por hora por endereço IP.
- Limitar-se a lidar apenas com solicitações GET
- Não defina cookies
- Mantenha uma lista negra de domínios que não podem ser proxy (servidores de anúncios pagos por clique)
- Injete avisos no conteúdo da página ("Este não é o servidor XYZ") que são removidos pelo script do meu aplicativo.
Alguma outra idéia ou isso é uma missão tola?
Responder1
Talvez seja suficiente adicionar uma autenticação http ao seu host. Dessa forma, seu representante de vendas poderia facilmente mostrar a página de demonstração aos clientes, mas ela deveria estar inacessível para todos os demais.
Não se esqueça de usar https para evitar quedas de ouvido.