Pular pro conteúdo principal

Limitação de taxa

Limitação de taxa é um mecanismo do lado do servidor que limita o número de requisições que um endereço IP, uma conta de usuário ou um token de autenticação pode enviar em uma janela de tempo definida, usado para impedir vote-stuffing, ataques de força bruta e outras formas de abuso automatizado.

Definição

Limitação de taxa é um controle de gestão de tráfego que impõe um teto sobre a frequência com que um cliente pode executar uma determinada ação dentro de uma janela de tempo definida. Quando o cliente passa do limite, o servidor responde com um erro — em geral HTTP 429 Too Many Requests — ou descarta silenciosamente as requisições excedentes. A janela é reiniciada em um cronograma fixo (contador “fixed window”) ou de forma rolante (contador “sliding window”), com a janela rolante oferecendo um enforcement mais suave que evita exploração em rajadas nas bordas da janela[1].

A limitação de taxa é um dos controles de segurança web mais antigos e universalmente implantados. A OWASP (Open Web Application Security Project) recomenda como defesa primária contra ataques de força bruta, credential stuffing e abuso automatizado de formulários. A Cloudflare oferece limitação de taxa como recurso do seu produto WAF, com regras configuráveis por caminho de URL, método HTTP, IP, valor de cookie e cabeçalho. AWS WAF, Azure Front Door e Google Cloud Armor entregam capacidades equivalentes.

Como funciona

Um rate limiter mantém um contador para cada identificador único de cliente — geralmente o endereço IP de origem, mas às vezes um identificador de conta, uma chave de API ou um cookie de sessão. Quando uma requisição chega, o servidor checa o valor atual do contador para aquele identificador. Se está abaixo do limite, libera e incrementa. Se está no limite ou acima, rejeita com 429 ou trata conforme a política configurada.

O armazenamento dos contadores costuma ficar em Redis ou Memcached para permitir leituras rápidas e distribuídas em várias instâncias de servidor — requisito de aplicações com escala horizontal. A documentação da Cloudflare descreve enforcement de limitação de taxa na borda da rede, em que regras são aplicadas antes de a requisição chegar ao servidor de origem, distribuindo a redução de carga pela infraestrutura global da Cloudflare.

Parâmetros comuns em concurso:

A limitação de taxa também pode ser aplicada de forma probabilística — por exemplo, limites mais rígidos para requisições com sinais comportamentais ou de fingerprint sugerindo automação, e limites mais frouxos para sessões com indicadores fortes de humano.

Onde você encontra

A limitação de taxa é um controle ubíquo, presente em praticamente toda plataforma web. Em concurso, ela aparece principalmente em três pontos: endpoint de envio de voto, formulário de cadastro de conta e (se houver confirmação por e-mail) o pipeline de envio de e-mail. Integrações via API encontram limites nos endpoints da API da plataforma.

Para você, usuária ou usuário final, a limitação de taxa aparece como erro HTTP 429 ou mensagem específica da plataforma — “Você já votou” ou “Aguarde antes de votar de novo”. Muitas plataformas usam limitação suave — aceitam a requisição mas descartam silenciosamente o duplicado — para evitar sinalizar a existência do controle a abusadores.

A documentação da Cloudflare sobre limitação de taxa no WAF observa que regras podem ser configuradas para apenas registrar (sem bloquear) durante uma fase de análise e, depois de calibrar o limite adequado, virar para bloqueio. Essa abordagem em duas fases ajuda a não bloquear, sem querer, ondas legítimas de votação[2].

Exemplos práticos

Uma competição de blogueiros gastronômicos configura o sistema de votação com limite de taxa por IP de 24 horas. Na semana final, um eleitor tenta enviar 50 votos em rajada do mesmo IP residencial. O primeiro voto é aceito; as outras 49 requisições recebem 429. O navegador exibe uma mensagem explicando o limite de uma vez por dia.

Uma plataforma SaaS de concurso que hospeda centenas de competições simultâneas usa limitação de taxa da Cloudflare na borda. Um bot que mira em um concurso com 10.000 requisições por minuto é estrangulado a no máximo 60 requisições por minuto na borda, com o excesso jamais chegando ao servidor de origem. Os logs do servidor de origem mostram só o tráfego estrangulado, e o uso de CPU permanece intacto.

Uma revisão de segurança da OWASP em um microsite customizado de concurso de uma startup identifica a ausência de limitação de taxa no endpoint de reenvio de confirmação como vulnerabilidade — um atacante poderia inundar a inbox de uma vítima disparando milhares de e-mails de confirmação. A revisão recomenda um limite de 3 reenvios por endereço de e-mail por hora, em linha com as orientações OWASP de prevenção a força bruta.

Conceitos relacionados

Detecção de anomalias é um complemento mais sofisticado: enquanto a limitação de taxa aplica limiares fixos, a detecção de anomalias identifica desvios de uma baseline aprendida, capturando campanhas de fraude que ficam um pouquinho abaixo do limite. Diversidade de ASN é relevante quando os limites são por IP e um agente mal-intencionado distribui as requisições por muitos IPs para ficar abaixo dos limites por IP — a análise por ASN detecta o padrão agregado. reCAPTCHA v3 entrega um score comportamental de risco que pode ser combinado com a limitação de taxa para aplicar limites mais rígidos seletivamente em sessões com pontuação suspeita de automação.

Limitações e ressalvas

A limitação de taxa por IP é menos eficaz em ambientes com Carrier-Grade NAT, em que um único IP público pode representar centenas de assinantes móveis legítimos. Um limite por IP de 1 voto a cada 24 horas bloquearia, por engano, a maior parte desses assinantes. Por isso, a limitação de taxa em plataformas de concurso precisa estar combinada com deduplicação por conta ou cookie quando o público móvel é relevante. Limites agressivos demais também degradam a experiência de eleitores legítimos vindos de redes compartilhadas como campus universitários, escritórios corporativos ou grandes hotspots de Wi-Fi público[3].

Fontes

  1. Wikipedia — Rate limiting: https://en.wikipedia.org/wiki/Rate_limiting
  2. Cloudflare — What is rate limiting: https://www.cloudflare.com/learning/bots/what-is-rate-limiting/
  3. OWASP — Blocking Brute Force Attacks: https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks

Do blog — guias e estudos de caso

Guias práticos, deep-dives técnicos, estudos de caso anônimizados.60+ artigos. Seleção gira.

Todos 60 artigos → Navegar por tópico
Victor Williams — founder of Buyvotescontest.com
Victor Williams
Online · responde em 5 min

Olá — manda a URL do concurso, em uma hora te passo o preço. Sem cartão por enquanto.

💬 Abrir chat ao vivo ️ Chat no Telegram 📋 Fazer pedido ou e-mail para [email protected]