Каков будет механизм безопасного онлайн-активации кода выигрыша?

-4

Представьте себе кампанию, в которой посетитель с уникальным win-кодом из пакета продуктов может выиграть сразу, введя только код. Клиент хочет получить электронную почту и т.д. После проверки выигрышного кода. Это необычно, но гораздо более сочувственно, чем требовательная электронная почта и личные данные, прежде чем проверять, выиграл ли кто-нибудь.

Итак, поток для посетителя будет:

[ ENTER CODE ]
!win -> [ TOO BAD ]
win -> [ CONGRATULATIONS ] -> [ ENTER PERSONAL DATA ]

Этот сценарий будет означать, что бот грубой силы может пробовать коды, пока ответ не будет отличаться, что подразумевает выигрышный код. Будете ли вы использовать/построить (пере) капчу?

Как бы вы защитились от наводнения? Злоумышленник может легко подделать IP/UserAgent для каждого запроса.

Можно ли вообще защитить такой механизм в этом потоке?

спросил(а) 2018-11-08T16:17:00+03:00 1 год, 11 месяцев назад
0
58

Общий вопрос, общий ответ...

Лучше сделать код достаточно длинным, чтобы это стало невозможным.

Рассмотрим модель угрозы: зачем кому-то идти на это? Являются ли выплаты такими высокими?

Нет никакого смысла в подделке IP-адресов злоумышленниками, так как они никогда не увидят ответы, и в любом случае они не могут подделать IP-адреса с помощью TLS & HTTP (они могут прятаться за прокси-сервером, но это не подделка). Поскольку количество прокси /IP-адресов намного меньше количества возможных кодов, у вас не должно быть проблем с ограничением по IP.

Вы могли бы сделать запросы дорогими - используйте систему "вызов-ответ", чтобы заставить клиентов выполнять огромное количество хеш-итераций для ограничения скорости запросов (см. Hashcash). Если это занимает 1 секунду, это значительно ограничивает потенциальную частоту запросов, но не приводит к чрезмерным штрафам для реальных пользователей.

ответил(а) 2018-11-08T16:55:00+03:00 1 год, 11 месяцев назад
Ваш ответ
Введите минимум 50 символов
Чтобы , пожалуйста,
Выберите тему жалобы:

Другая проблема