[rojak-api] Rojak API key (and security)

[bobbypriam]

Issue ini akan membahas mengenai pertimbangan-pertimbangan untuk pengamanan Rojak API. Seluruh anggota tim dan pengunjung kalau bisa silakan ikut berdiskusi di sini dan memberikan saran 🙇

Rojak API berfungsi sebagai interface dari Rojak Database. Operasi yang bisa dilakukan hanya membaca (GET). Rojak API diakses oleh publik melalui Rojak Client. Publik (idealnya) dapat membuat client sendiri apabila diinginkan.

The way I see it, attack vector yang bisa terjadi adalah (D)DoS terhadap query database. Untuk menghindari itu, menurut saya kita bisa (CMIIW):

1. Mengimplement rate-limiting (throttling) dengan memberikan tiap-tiap client (rojak-ui-web, rojak-ui-app, dsb.) sebuah API key yang kemudian bisa kita track total requestnya dan revokable kalau dibutuhkan. Tapi mengingat salah satu client kita adalah web dan umumnya API key bisa terlihat di source javascriptnya, bisa terjadi penyalahgunaan API key dari web yang akhirnya menyebabkan client web tidak bisa mengakses API (kena rate limit). Solusinya mungkin API key disimpen di server intermediate lalu web mengirim request ke sana yang kemudian baru meneruskan ke API Rojak, memanfaatkan CORS. Tapi somehow kayaknya terlalu ribet 😅
2. Ditch rate-limiting altogether dan fokus ke availability melalui caching sehingga meminimalisir DB roundtrip. API key bisa tetap digunakan untuk identifikasi client (request datang dari mana), tapi ga digunakan untuk throttling. Keuntungannya, pengecekan API key bisa stateless. Kelemahannya kita ga bisa yakin request dilakukan oleh siapa (bisa aja API key digunakan via curl atau yang lainnya).

Saya mungkin salah di sini dan mungkin melupakan aspek-aspek security yang lain, kalau ada insight dari yang sudah berpengalaman akan sangat membantu. Adakah attack vector lain yang mungkin dieksploitasi? Let us hear your thoughts!

[pyk]

Rate-limiting sama caching (meminimalisir db roundtrip) aku rasa udah pas untuk prevent DoS attack

[reinarduswindy]

Sebenarnya agak kurang ngerti masalah security, tpi seharusnya rate-limiting udh cukup sih utk ngatasin masalah di atas.

[bobbypriam]

@pyk Rate-limit perlu diimplemen? Mengingat API key hanya akan membedakan jenis client yang digunakan (web, app, dsb.), kalau ada client yang kena rate limit berarti client tersebut ga akan bisa dipakai sama sekali... Kok kayaknya ga fleksibel ya?

[pyk]

@bobbypriambodo rate-limit lebih untuk ke pemakaian yang wajar atau menghindari abuse (misalnya abuse 1K req/s)

Rate-limit perlu diimplemen?

Menurutku perlu sih mas, tapi prioritasnya lebih kecil (implement endpoint dulu)

[bobbypriam]

@pyk I see, masuk akal sih, mungkin perlu diteliti lagi misalnya treshold batas wajarnya berapa (mungkinkah user reguler rojak bakal sampai 1K req/s? 😄). Kalau anggota tim ada yang pernah pengalaman ngebuat sistem yang serupa mungkin bisa ikut diskusi di sini/slack hehe.

Selain DoS, ada lagi ga ya? Communication over HTTPS udah pasti lah ya.

[rawgni]

@bobbypriambodo kalo 1k req/s artinya at that one particular second 1000 user load web rojak? sepertinya highly achieveable.

[bobbypriam]

@rawgni Iya, saya juga pikir begitu. Makanya kayaknya butuh profiling juga untuk ngeliat seberapa kuat APInya untuk ngehandle concurrent request dan itung-itungan kira-kira user rojak akan seintensif apa.

[mychaelgo]

hm mungkin bisa pakai semacam free service seperti cloudflare? udah include DDOS preventing setau saya CMIIW :)

[pyk]

@mychaelgo yup, *.artificialintelligence.id dah pake cloudflare kok. Untuk kasus ini rojak-api nanti bisa pakai rojak-api.artificialintelligence.id

[mychaelgo]

@pyk ok deh mas :)