API'ler inanılmaz derecede onemlidir. 2000'li yıllar boyunca, populer web hizmetlerinin omurgasını oluşturarak İnternet'in daha kullanışlı ve erişilebilir olmasına yardımcı oldular . 2010'larda API'ler, kişisel cihazların dijital dunya ile iletişim kurmasına izin vererek hayatımızda daha buyuk bir rol oynadı. Arac paylaşma hizmetlerini kullanmak ve latte icin odeme yapmak gibi gunluk aktivitelerimizin coğu, bu modern iletişim bicimine bağlıdır. Şimdi, API'lerin her zamankinden daha onemli olacağı salgın sonrası bir dunyaya yaklaşıyoruz.

Ne yazık ki, herhangi bir teknoloji buyudukce, kotuye kullanım icin yuzey alanı da buyuyor. API'ler istisna değildir. Rideshare hizmetleri, birbirlerinin fiyatlarını API aracılığıyla izleyerek bir fiyat savaşı ve dijital kaynak israfına yol acabilir. Veya bir kahve icicisi, latte indirimi icin bir API'yi manipule edebilir. Bazı şirketlerin binlerce API'si vardır - bilmedikleri bile. Cloudflare, bu sorunları cozmeye yardımcı olabilir.

Bugun, API Keşfi ve API Kotuye Kullanım Tespitine erken erişimin duyurusunu yapıyoruz.

Arka fon​Daha ileri gitmeden once, API'ler icin neden bir cozume ihtiyacımız olduğunu acıklamak onemlidir . Hız Sınırlama ve DDoS Koruması gibi geleneksel guvenlik aracları harika bir şekilde yararlı olabilir. Ancak bu yaklaşımlar tek başına hareket etmek icin tasarlanmadı. Belirli bir API uc noktasını sınırlandırabiliriz, ancak uygun bir eşiği nasıl seceriz? Sorun yaratmadan bunu buyuk olcekte yapmak zor olurdu. Bir API, dağıtılmış bir saldırı tarafından vurulabilir (eşiğin altına duşebilir) veya meşru trafikte bir artış (eşiğin aşılması) gorebilir.

Diğerleri , API uc noktalarında Bot Yonetiminin konuşlandırılmasını onerdi . Coğu durumda, bu etkilidir ve ozellikle API tarayıcılar tarafından kullanılacaksa (bir web uygulamasının parcası olarak) bir dereceye kadar koruma sağlar. Ancak Bot Management, insanlar arasında kotu aktorler bulmak icin tasarlandı . İnsanlar tipik olarak tarayıcı kullanırken bu aktorler tipik olarak otomasyonu kullanır, bu nedenle ayrım biraz acıktır. Ancak API'ler farklı bir sorun sunar. API'ler otomatiktir, bu nedenle herhangi bir cozum diğer botlar arasında kotu botlar bulmalıdır . İyi ve kotu otomatik trafik arasında ayrım yapmalıyız.


API problemini cozmek icin bir niyet olcusu geliştirmemiz gerekiyordu - neredeyse amaclarını belirlemek icin her taleple goruşmek gibi. Aşağıdaki soruları tamamen ikinci dereceden verilere dayalı olarak yanıtlamamız gerekir:

Bu istek, amaclanan amacı icin bir API kullanıyor mu? Bu istek şupheli davranışlar sergiliyor mu? Neden? Yine, Hız Sınırlama gibi araclar ikili sorunları idare edebilirken (orneğin, "bu IP 200 isteği aştı mı?"), API sorunu daha oznel bir hakem gerektirir. Bir API'nin amacını incelememizi ve bulduklarımıza gore makul kısıtlamalar tanımlamamızı gerektirir . Aynı zamanda yeni bir temel hakikat kaynağı bulmamızı gerektirir. Bot Yonetimini kurduğumuzda, taleplerin insani olduğunu veya zorluklar yayınlayarak otomatik olduğunu doğrulayabildik . API'ler, bir sorunu cozerek meşruiyetlerini kanıtlayamayan otomatikleştirilmiş hizmetler icerir.

Aylarca bu sorunu cozdukten sonra, cozumumuze ilk kez bakmaktan heyecan duyuyoruz. Birkac parca halinde geliyor…