問題タブ [ip-restrictions]

コンテキスト: VSTS アカウント を持っていますhttps://blahblahblah.visualtudio.com Azure Premium 条件付きアクセスを使用し、職場ネットワークのパブリック IP を指定することで、外部アクセスをブロックするように構成しました。そのため、内部ネットワーク外のクライアントからのインタラクティブ アクセスはブロックされます。

ただし、これは Personal Access Token (PAT) をブロックしません。また、PAT の使用を無効またはブロックする設定も表示されません。PAT を使用すると、REST API を介して VSTS アカウントのほとんどのデータにアクセスできます。Azure AD Premium 条件付きアクセス (ホワイトリスト) のようなメカニズムがなければ、世界中の誰もが PAT を盗むだけでデータにアクセスしたり変更したりできます。これは私にとって巨大なセキュリティ ホールのように思えます。その脆弱性を制御できていないのでしょうか?

理想的には、Azure AD Premium に依存するのではなく、VSTS にホワイトリストを用意する必要があります。VSTS サービスは、指定された安全な場所以外で発生したインタラクティブな呼び出しと API 呼び出しの両方をブロックします。しかし、それは私の知る限り存在しません。

では、API パスと盗まれた PAT を介してアカウント データにアクセスする可能性のある世界中のユーザーからデータを保護するにはどうすればよいでしょうか?

IP セキュリティの制限に問題がある。web.config ファイルを作成し、制限しようとしているフォルダーに配置しました。以下を参照してください。

また、applicationHost.config を次のように調整しました。

ただし、そのフォルダー内のファイルを参照すると、403 が表示されます。IIS を再起動しましたが、IP アドレスは正しいです。

私は何が欠けていますか？

学校で使用する Firebase を使用したチャット エンジンを開発しようとしています。これは、1 つの IP アドレスから最大 60 の同時接続が存在する可能性があることが Firebase に表示されることを意味します。これは、攻撃または危険なトラフィックのように見えるかもしれないと想像します。

それが問題を引き起こす可能性があるかどうかは誰にもわかりますか？Firebase はそのような IP アドレスをブロックする可能性がありますか?

IIS 動的 IP 制限を使用して、同じ IP からの要求を抑制しようとしています。モジュールを実行していて、IIS UI から動的制限設定を編集すると、要求が適切に調整されます。これは良いことですが、URL ごとに異なる料金を設定する必要があります。たとえば、ログインは静的リソースよりも厳密にする必要があります。locationsこれを実現するために web.config で使用しようとしています。

残念ながら、これは当てはまりません。1 つの HTML ファイルを含む静的な Web でも機能しないため、私のアプリとは何の関係もないと確信しています。を追加するとリクエストがブロックされるため、場所のパスが正しいことも確信しています...<deny users="*" />。

RETSConnector を使用して、RETS サーバー フィードを診断しています。一部は IP 制限されています。AWS Windows 7 ワークスペースを介してこれらのフィードにアクセスしようとしています。プロキシ サーバーに接続できますが、スペースが報告している IP には影響しないようです。私の質問は、とにかく AWS Workspace/Windows 7 にプロキシ サーバーの IP を内部的に報告させることで、さまざまなベンダー アカウントに既に保存されている IP を利用できるようにすることができるかということです。