Ce este Rate Limiting?

Limitarea numarului de cereri pe care un utilizator le poate face intr-un interval

Definiție Rate Limiting

Rate limiting limiteaza numarul de cereri pe care un client (IP, utilizator) le poate face intr-un interval de timp. Previne atacurile brute-force, DDoS si abuzul API-urilor. De exemplu: maxim 100 cereri pe minut de la acelasi IP. Cererile in exces primesc eroare 429 (Too Many Requests).

De ce contează Rate Limiting

Lipsa rate limiting-ului permite atacuri brute force care pot testa mii de parole pe secunda, atacuri DDoS la nivel de aplicatie care supraincarca serverul si scraping masiv al continutului. API-urile publice fara limitare sunt deosebit de vulnerabile — un singur client poate genera milioane de cereri pe ora consumand toata banda si CPU-ul.

Cum verifici Rate Limiting

SoftAudit trimite rafale de cereri rapide catre diverse endpoint-uri si masoara raspunsul serverului: detecteaza prezenta headerelor X-RateLimit-Limit si X-RateLimit-Remaining, codurile de raspuns 429 Too Many Requests si comportamentul la depasirea limitei.

Greșeli frecvente

Setarea aceluiasi rate limit pe toate endpoint-urile ignora faptul ca pagina de login necesita limite mult mai stricte (5-10 cereri/minut) decat paginile publice (100+ cereri/minut). O alta eroare este limitarea doar pe IP, ceea ce poate bloca toti utilizatorii din spatele aceluiasi NAT sau proxy corporativ.

Bune practici

Configureaza rate limiting diferentiat: foarte strict pe autentificare si resetare parola, moderat pe API si formular de contact, relaxat pe paginile publice. Foloseste o combinatie de identificatori (IP + sesiune + cont) si returneaza headerele standard (RateLimit-Limit, RateLimit-Remaining, Retry-After) pentru a informa clientii.