HaveIBeenPwned?

Troy Hunt setzt Cloudflare zum Schutz seiner Website und API ein, um Anwendern eine sichere Online-Erfahrung zu ermöglichen.

Troy Hunt is a Microsoft Regional Director and an independent Internet security researcher. He is well known for both his Internet security blog www.troyhunt.com, and his HaveIBeenPwned (HIBP) service, which aggregates data breaches and helps people establish if they've been impacted by malicious activity on the web. Hunt's goal is to help as many people as possible with his knowledge and service.

Troy Hunt's Challenge: Helping People Without Enabling the Bad Guys

Mit begrenzten Ressourcen so vielen Menschen wie möglich zu helfen, ist nicht immer leicht. Eine der größeren Schwierigkeiten für Hunt stellt der Umgang mit schnell auftretenden Traffic-Spitzen auf seinen Websites und der API dar, die auf der Azure-Infrastruktur von Microsoft laufen. Diese Spitzen verursachen Probleme bei der Performance, erhöhen die Bandbreitenkosten und bedeuten Ausfallzeiten und Vertrauensverlust für einen Dienst, bei dem es in erster Linie auf Vertrauen und Integrität ankommt. Wenn große Unternehmen aufgrund von Datenschutzverletzungen in die Schlagzeilen geraten (wie jüngst Ashley Madison und Dropbox), verzeichnet Hunts HIBP-Dienst einen starken Anstieg des Traffic. Diese Traffic-Spitzen bringen laut Hunt die CPUs an ihre Grenzen und beeinträchtigen die Performance, bis weitere Instanzen eingesetzt werden: „Autoscale, der Azure-Dienst zur automatischen Lasthandhabung, funktioniert wunderbar, solange der Datenverkehr stetig zunimmt. Wenn der Traffic aber plötzlich stark ausschlägt, bricht die Performance bei mir ein.“ Unter diesen Traffic-Spitzen leidet nicht nur die Performance, sondern auch Hunts Geldbeutel, weil sich Autoscale per „Load on Demand“ an die Datenlast anpasst.

Außerdem fürchtete Hunt, dass einige die HIBP-API für unlautere Zwecke eingesetzt werden könnte. Ursprünglich wurde die API entwickelt, damit Nutzer feststellen können, ob sie von einer Datenschutzverletzung betroffen sind. Doch Hunt zufolge gab es in „letzter Zeit Anzeichen dafür, dass die API zweckentfremdet wurde. Ich möchte nicht, dass das so weitergeht.“

Hunt suchte daher nach einer Lösung, um die Web-Performance aufrechtzuerhalten, die durch Traffic-Spitzen verursachten Kosten zu senken und den Missbrauch seiner API zu verhindern.

Troy Hunt's Solution: Rate Limiting Malicious Actors

Troy Hunt found a single solution for his multiple requirements in Cloudflare's Rate Limiting service. Rate Limiting helps Hunt manage traffic spikes by allowing him to set a limit on the number of requests from individual IP addresses that respectively hit his websites and API over a given period of time. Rate limiting prevents spikes in traffic from reducing performance because each unique user is limited to a certain number of requests. Hunt has set this limit such that normal users don't see any change in service, while people abusing Hunt's websites and API get throttled ensuring that his API stays high performing and reliable for legitimate traffic, while abusers are prevented and blocked. Hunt applauded, "You have made the entire site more stable, faster for legitimate users, and more secure while reducing my costs."

Related Case Studies
Key Results

Durchsatzratenbegrenzung verhindert Missbrauch der HIBP-API durch Betrüger

90 % Einsparungen bei Infrastrukturkosten

99,5 % der Anfragen werden direkt aus dem Zwischenspeicher von Cloudflares bedient

Dank der Ratenbegrenzung kann ich meinen Service zuverlässig, kosteneffektiv und ethisch korrekt betreiben.

Troy Hunt