Hallo zusammen,
mich hat über einen Kunden folgende Mail von Tradebyte erreicht. Quintessenz: Anfragen ohne User-Agent werden in Zukunft abgelehnt.
Könnt ihr einmal prüfen und bestätigen, dass eure Steps immer einen User-Agent mitsendet?
Gruß
Gustav
Hier die Mail von Tradebyte:
mit der Implementierung einer Web Application Firewall (WAF) gewährleisten wir die Sicherheit unserer Infrastruktur, indem wir ungültige HTTP-Anfragen und Botnets blockieren. Im Rahmen dieser Maßnahme müssen Anfragen, die das TB.One UI oder REST/API aufrufen, einen User-Agent-Header enthalten. Wir empfehlen, rechtzeitig zu überprüfen, ob deine Systeme die Anforderungen unserer WAF erfüllen.
In den nächsten 4 Wochen werden wir dich bezüglich weiterer Sicherheitsanforderungen informieren, sobald wir diese umsetzen. Wir werden dich weiterhin informieren, sobald die Angabe eines User-Agent-Headers verpflichtend wird. Tradebyte-Endpunkte sind dann nicht mehr ohne einen gültigen User-Agent-Header aufrufbar. Verbindungen ohne Header werden mit der Fehlermeldung HTTP 403 (Forbidden) fehlschlagen.
Was bedeutet das für dich konkret und was musst du beachten?
TB.One UI
- Rufst du TB.One über einen Web-Browser auf, musst du nicht tätig werden. Web-Browser fügen ihren Anfragen standardmäßig einen User-Agent hinzu.
TB.One REST / API
- Alle API-Aufrufe müssen einen korrekten User-Agent-Header enthalten!
- Beachte die RFC-Richtlinien, um einen gültigen User-Agent-Header zu implementieren. Weitere Informationen dazu findest du hier.
- Nicht valide REST- oder API-Anfragen werden künftig blockiert.
- Informiere deine IT-Abteilung, um einen User-Agent-Header in deinen API-Anfragen zu implementieren.
Für Rückfragen steht dir unser Support Team gerne jederzeit zur Verfügung.
Dein Tradebyte Team