Le service HaveIBeenPwned

Troy Hunt utilise Cloudflare pour protéger son site web et son API en aidant ainsi les utilisateurs à rester en ligne en toute sécurité.

Troy Hunt is a Microsoft Regional Director and an independent Internet security researcher. He is well known for both his Internet security blog www.troyhunt.com, and his HaveIBeenPwned (HIBP) service, which aggregates data breaches and helps people establish if they've been impacted by malicious activity on the web. Hunt's goal is to help as many people as possible with his knowledge and service.

Troy Hunt's Challenge: Helping People Without Enabling the Bad Guys

Aider le plus grand nombre de personnes possible peut être difficile lorsque les ressources sont limitées. L'un des principaux défis de M. Hunt est de gérer les pics de trafic sur ses sites web et son API qui sont exécutées sur l'infrastructure Azure de Microsoft. Ces pics entraînent des problèmes de performances, augmentent les coûts de bande passante, et entraînent des temps d'arrêt et une perte de confiance pour un service où la confiance et l'intégrité sont primordiales. Lorsque les fuites de données des grandes institutions sont très médiatisées (comme celles survenues chez Ashley Madison et Dropbox), le service HIBP de Hunt connaît d'énormes pics de trafic. Selon M. Hunt, ces pics de trafic « dépassent la capacité des processeurs et dégradent les performances jusqu'à ce que d'autres instances soient exécutées. Autoscale, le système de mise à l'échelle automatique d'Azure, fonctionne à merveille lorsque le trafic augmente régulièrement, mais les performances sont fortement dégradées lorsque le trafic décolle soudainement. » Non seulement ces pics de trafic s'accompagnent d'une perte de performances, mais dans la mesure où Autoscale s'adapte à la charge à la demande, les pics ponctionnent directement le portefeuille de M. Hunt.

En outre, Troy Hunt s'est inquiété de l'utilisation de l'API de HIBP par certains acteurs malveillants. Bien que l'API ait été créée pour aider les utilisateurs à savoir s'ils ont été victimes d'une fuite de données, M. Hunt a expliqué que « récemment, divers indicateurs ont montré que l'API avait été utilisée d'une manière qui ne correspondait pas à l'esprit dans lequel elle avait été créée. Je n'ai pas envie que cela continue ».

M. Hunt cherchait donc une solution, d'une part pour maintenir les performances du web et atténuer les coûts en cas de pics de trafic, d'autre part pour empêcher que son API ne soit utilisée de manière abusive.

Troy Hunt's Solution: Rate Limiting Malicious Actors

Troy Hunt found a single solution for his multiple requirements in Cloudflare's Rate Limiting service. Rate Limiting helps Hunt manage traffic spikes by allowing him to set a limit on the number of requests from individual IP addresses that respectively hit his websites and API over a given period of time. Rate limiting prevents spikes in traffic from reducing performance because each unique user is limited to a certain number of requests. Hunt has set this limit such that normal users don't see any change in service, while people abusing Hunt's websites and API get throttled ensuring that his API stays high performing and reliable for legitimate traffic, while abusers are prevented and blocked. Hunt applauded, "You have made the entire site more stable, faster for legitimate users, and more secure while reducing my costs."

Études de cas associées
Résultats essentiels

Rate Limiting empêche les acteurs malveillants d'abuser de l'API de HIBP

90 % d'économies sur les coûts d'infrastructure

99,5 % des requêtes servies directement depuis le cache de Cloudflare

« La limitation du débit me garantit que je peux continuer à exécuter mon service de manière fiable, rentable et éthique. »

Troy Hunt