[ anon70939 @ 11.06.2019. 13:21 ] @
Ispratio sam još ranije neko slično uputstvo ovome, možda čak i to
https://aws.amazon.com/blogs/a...on-api-gateway-and-amazon-ses/

Napravio sam kontakt formu i radi savršeno, pošaljem i primim email.

E sad... sa security strane mi je malo nejasno jer čak i kad u lokalu imam ovu formu uspešno šaljem email isto kao i sa statičkog S3 sajta.

Što znači da svako ko pročita source moje stranice, može da iskoristi taj API i da šalje emailove.
Doduše ne može baš da bira na koje emailove da šalje, jer je to u kodu koji je postavljen na Lambda.
Ali me interesuje kako bih mogao ovo dodatno da obezbedim.
Da li neki policy da taj API može da se koristi samo sa određenog S3 bucket-a? Mada verovatno ne može... jer to izvršava lokalni JS koji je pokrenut sa nekog klijentskog računara.

[ Branimir Maksimovic @ 11.06.2019. 14:45 ] @
Koliko se secam da bi koristio SES moras da posaljes kljuc koji cuvas na serveru, a koji dobijes kada registrujes nalog, to valjda neces dati?

edit:
svakako da bez neke security mere ne bi smeo da saljes iz prostog JS-a.
[ anon70939 @ 11.06.2019. 14:56 ] @
Misliš na verifikaciju domena ili emaila?
Ja sam za sad samo radi testa uradio verifikaciju sa emaila, a email je gmail.

Ako misliš na IAM Access key, to u ovom slučaju i ne koristim

Nemam ideju kako da na "serverless" sajtu napravim kontakt formu koristeći SES, a da nije JS u pitanju.

[Ovu poruku je menjao CoyoteKG dana 11.06.2019. u 16:54 GMT+1]
[ mjanjic @ 11.06.2019. 20:19 ] @
Zavisi da li je zaštita od botova (softvera) ili od ljudi.

Za ovo prvo ubaciš neko skriveno polje, pa ako je popunjeno, odbaciš submission na strani "servera".
A za ovo drugo, ima raznih načina... ima poprilično literature na tu temu, npr. https://github.com/OWASP/Cheat...gery_Prevention_Cheat_Sheet.md

[ anon70939 @ 11.06.2019. 22:25 ] @
Od botova mogu tako kako si rekao plus reCaptcha.

A od ljudi generalno, možda mi ni ne treba nikakva zaštita u ovom slučaju.
Kako zaštititi neki otvoren “api”? Neko može i na običnoj php formi da me spamuje. Onda ga blokiram sa fail2ban recimo. Dok za ove “serverless” stvari ne bih mogao da koristim fail2ban nego bih verovatno morao da pišem nešto i čitam logove pa blokiram nekako (mnogo nešto/neke/nekako u jednoj rečenici :D )

Bilo bi glupo recimo ako hoću da moja forma osim meni šalje potvrdu i na mail onog ko je popunio formu. Pa da neko to zloupotrebi i tako šalje spam. Iskoristi lepo taj kod pošto je JS, skloni recaptcha, to “nevidljivo polje” i onda udri po svojoj subscriber listi...

Slabo kapiram kako funkcioniše to sa apijem bez auth, šta može da se zloupotrebi... Ovo su samo moja prosta nagadjanja.
[ Branimir Maksimovic @ 12.06.2019. 05:54 ] @
Citat:
CoyoteKG:
Misliš na verifikaciju domena ili emaila?
Ja sam za sad samo radi testa uradio verifikaciju sa emaila, a email je gmail.

Ako misliš na IAM Access key, to u ovom slučaju i ne koristim

Nemam ideju kako da na "serverless" sajtu napravim kontakt formu koristeći SES, a da nije JS u pitanju.

[Ovu poruku je menjao CoyoteKG dana 11.06.2019. u 16:54 GMT+1]


Ma pisao sam neki progi za slanje preko SES, ne znam kako je sada, tad je trebao da se kriptuje kljuc i posalje
uz mail. Onda su presli na cist SMTP gde je trebao TSL uz kredencijale, a sad ne znam sta su smislili.
U svakom slucaju ako mozes da posaljes mail bez kredencijala, nece da valja.