Удобная кросс-доменная авторизация и персонализация для DDOS-устойчивого сайта Redis + Varnish + Javascript. - презентация

1 Удобная кросс-доменная авторизация и персонализация для DDOS-устойчивого сайта Redis + Varnish + Javascript

2 DDOS

3 Приходит HTTP-запросов/сек с разных IP… Что делать? Идеи? DDOS-устойчивый сайт Как защититься? ИЛИ?

4 1.Вычислять и банить IP ботов – Способы есть, но это сложно: Боты маскируются. Оператор – не дурак. Ботнет большой. DDOS-устойчивый сайт Варианты защиты

5 2.Настоящий Хайлоад – Большие расходы: железо, программирование… – DDOS закончится и все это будет не надо. DDOS-устойчивый сайт Варианты защиты

6 3.Не пускать анонимов в движок – Обслуживать их из быстрого кеша Captcha! – Медленный сервис? Captcha! DDOS-устойчивый сайт Варианты защиты

7 Что это означает для движка? Типичный проект посетитель Как внедрить кеширование для анонимов ?

8 Первый подход. Классика жанра. Движок с кешированием посетитель FastCGI запрос страница

9 Короче Структура – Много компонент – Много лишней работы по копированию данных Производительность – Средняя, а нужна максимальная.

10 Версия 2.0 "Кэш – наше всё" посетитель авторизация HTTP-КЭШ FastCGI … P.S. Также пробовали подписанные куки разные для анонима и зарегистрированного COOKIE.= md5(secret_anon,cookie).substr(0,4) COOKIE.= md5(secret_regged,cookie).substr(0,4)

11 База а-ля Memcache Хранит все в памяти – Сохраняет периодически или по запросу GET SET EXPIRE Умеет структуры данных – HASH, (Sorted) SET, LIST Redis БЫСТРО! - это БЫСТРО!

12 Кеширующий прокси / сервер / балансер /… Хуки на всех стадиях обработки запроса Varnish

13 Ответ генирируют скрипты Что получилось 1 2 Авторизован? Да Нет 3 Ответ из кеша C{ … }C посетитель

14 Вопросы? ==cut

15 Персонализируемый сайт Просмотренные товары Геотаргетинг Персонализация «рулит» Она нужна всем, включая анонимных посетителей => Авторизуем всех! То, что надо!!! Онлайн-сервисы

16 Кэш – страница генерируется 1 раз Персонализация – страница подстраивается под посетителя Идеи? Кэш VS персонализация Как объединить?

17 1.Персонализация влияет комплексно. – Геотаргетинг телефоны, цены, информация... – Каждый геотаргетинг - своя страница в кеше Кэш + персонализация mod_geoip Russia Japan USA посетитель Варианты страницы

18 2.Персонализация влияет точечно. – Блочные сервисы Последние просмотры Реклама... Кэш + персонализация … … Подзапрос

19 К записи в кэше прикреплены тэги. Тэги задаются при генерации страницы. По тэгам можно удалять. Очистка кеша при изменениях

20 Пример: – Страница фото Тэг: foto_123 – Фото обновляется » При изменении файла или описания фото » При изменении кол-ва комментариев Очистка кеша при изменениях

21 Пример: – Страница галереи / тэга Тэги: foto_1, foto_2, …, foto_20 Очистка кеша при изменениях

22 Рецепты 1.Ограничить время жизни кеша 2.Убивать все Весь тэг article при изменении дерева статей – Или все URL вида article/* Кэш + сложные зависимости … или когда добавить таги лень Главное –HIT/MISS

23 Кешируем и для зарегистрированных – SID в Hash Поддержка 304 в браузере Полезные ссылки – – – – Дополнительно

24 ==cut

25 Один сайт – много доменов 2 уровня – – – – … Нахрена? Нахрена? – SEO ! Мульти-доменный сайт

26 Вошел на один сайт – Кросс-доменная авторизация … Авторизован на всех Идеи?

27 Вход, выход, авторизация – на мастере – master.com Задача - синхронизировать Cookie между доменами Как? – См. следующий слайд Кросс-доменная авторизация

28 Персонализирующий скрипт Анонимная страница a.com 1.Загрузить/создать сессию По кукам master.com 2.Если зарегистрированный: Поставить куку на b.com =>reload 3.Если аноним: Персонализация при помощи JS Cookie анонима стоят только на master.com

29 Производительность a.com/… SID существует, авторизован и валиден? Страница из кэша Нет Да движок C + +

30 3 rd party cookie! – Политика безопасности P3P – Safari запрещает по умолчанию Другие браузеры можно настроить – Демо Демо Как обойти? Pitfall

31 Динамическая форма с любой страницы – Кросс-доменная коммуникация - логин-пароль нельзя передавать GET window.name + вспомогательный iframe Действия для авторизованного посетителя – Auth.decorate(callback) Автопривязка после регистрации – Комментарии Все вместе – См. демо Удобная авторизация

32 1.Время жизни однократных посетителей – Если в течение минуты не было захода – удалять – Защищает от ботов без кук 2.Против ботов с поддержкой Cookie – Как правило, таких ботов меньше – Не хранить анонимов с IE6 Определение по browser features –> запись в Cookie – Персонализация не везде – Captcha… Дополнительная защита