Pokročilé bezpečnostné funkcie

Dostupné v:

Post Affiliate Pro , Post Affiliate Pro Ultimate , Post Affiliate Network

Post Affiliate Pro poskytuje bezpečnostné funkcie podnikovej úrovne navrhnuté na ochranu vášho affiliate programu pred neoprávneným prístupom, zneužitím a podvodmi. Tento sprievodca pokrýva pokročilé bezpečnostné mechanizmy zabudované do platformy.

Metódy API autentifikácie

API v3 Post Affiliate Pro používa moderné autentifikačné štandardy na zabezpečenie bezpečného prístupu k údajom a operáciám vášho affiliate programu.

Autentifikácia API kľúčom

API kľúče poskytujú bezpečnú metódu pre server-to-server komunikáciu. Každý API kľúč v Post Affiliate Pro obsahuje:

• ID tokenu a hash: API kľúče používajú bezpečný formát tokenu s jedinečným identifikátorom a kryptograficky hashovaným tajomstvom. Textový token nie je nikdy uložený v databáze.
• Dátum expirácie: Môžete nastaviť dátum expirácie pre API kľúče na zabezpečenie pravidelnej rotácie.
• Prístup založený na rolách: Každý kľúč dedí oprávnenia od priradenej používateľskej roly.
• Obmedzenia rozsahu: Definujte konkrétne rozsahy na obmedzenie operácií, ktoré môže API kľúč vykonávať.
• IP Whitelisting: Obmedzte používanie API kľúča na konkrétne IP adresy alebo CIDR rozsahy.
• Sledovanie používania: Systém sleduje, kedy bol každý kľúč naposledy použitý a koľkokrát bol sprístupnený.

Na autentifikáciu s API kľúčom ho zahrňte ako Bearer token v hlavičke Authorization:

Authorization: Bearer pap_XXXXXXXXXX_YYYYYYYYYYYYYYYYYYYYYYYYYYYY

OAuth 2.0 autentifikácia

Pre integrácie tretích strán a dočasný prístup Post Affiliate Pro podporuje OAuth 2.0 bearer tokeny s validáciou rozsahov. OAuth autentifikátor:

• Validuje bearer tokeny voči databáze API kľúčov
• Overuje, že token má všetky požadované rozsahy pre požadovanú operáciu
• Vracia jasné chybové správy pre nedostatočné oprávnenia (HTTP 403)
• Bezproblémovo sa integruje so systémom limitovania požiadaviek

Oprávnenia založené na rozsahoch umožňujú jemnú kontrolu nad tým, čo môže každý token sprístupniť, čím zabezpečujú, že integrácie tretích strán majú prístup len k údajom, ktoré potrebujú.

Limitovanie požiadaviek

Post Affiliate Pro implementuje inteligentné limitovanie požiadaviek na ochranu vášho affiliate programu pred zneužitím, pokusmi o denial-of-service a nekontrolovanými automatizačnými skriptami.

Globálne API limity

API v3 vynucuje nasledujúce limity:

• 100 požiadaviek za minútu pre všetky API endpointy
• 10 neúspešných pokusov o autentifikáciu za minútu na IP adresu pre bearer token autentifikáciu

Keď prekročíte limit, API vráti:

• HTTP 429 (Too Many Requests) stavový kód
• Hlavičku Retry-After indikujúcu, kedy môžete zopakovať požiadavku
• Hlavičku X-RateLimit-Limit zobrazujúcu maximálny povolený počet požiadaviek
• Hlavičku X-RateLimit-Remaining zobrazujúcu zostávajúce požiadavky v aktuálnom okne
• Hlavičku X-RateLimit-Reset zobrazujúcu, kedy sa limit resetuje

Algoritmus token bucket

Limitovanie požiadaviek používa algoritmus token bucket, ktorý poskytuje:

• Konfigurovateľné časové okná (sekunda, minúta, hodina, deň, týždeň, mesiac)
• Postupné dopĺňanie dostupných požiadaviek v čase
• Ochranu pred trvalým zneužitím aj burst útokmi
• Oddelené buckety pre rôzne typy operácií (autentifikácia, reset hesla, registrácie atď.)

Limitovanie autentifikácie

Neúspešné pokusy o autentifikáciu sú sledované osobitne na prevenciu brute-force útokov:

• Neúspešné bearer token autentifikácie spotrebúvajú tokeny z bucket-u špecifického pre IP
• Po 10 neúspešných pokusoch v priebehu minúty sú ďalšie pokusy o autentifikáciu zablokované
• Úspešná autentifikácia resetuje počítadlo zlyhaní pre danú IP
• Stav limitov je logovaný pre bezpečnostné monitorovanie

Zabezpečenie relácií

Post Affiliate Pro implementuje robustnú správu relácií na ochranu používateľských účtov.

Funkcie správy relácií

• Bezpečné ID relácií: Relácie používajú 32-znakové kryptograficky bezpečné identifikátory
• Validácia relácií: Každá požiadavka validuje stav relácie a priradený modul
• Expirácia relácií: Expirované relácie sú automaticky detekované a spracované
• Úložisko relácií: Relácie môžu byť uložené v databáze alebo Redis pre vysokovýkonné prostredia
• Kontrola viacerých relácií: Používatelia môžu mať svoje ostatné relácie ukončené, keď nastanú bezpečnostne citlivé zmeny

Ukončenie relácií pri bezpečnostných udalostiach

Keď nastanú kritické bezpečnostné udalosti, Post Affiliate Pro automaticky ukončí súvisiace relácie:

• Povolenie dvojfaktorovej autentifikácie zneplatní všetky ostatné aktívne relácie
• Zmeny hesla môžu spustiť zneplatnenie relácií
• Vymazanie API kľúča ukončí priradené relácie
• Zmeny stavu účtu spúšťajú čistenie relácií

Ochrana prihlásenia

Post Affiliate Pro poskytuje komplexnú ochranu prihlásenia s konfigurovateľnými nastaveniami pre obchodnícky aj afiliátsky panel.

Obmedzenia založené na IP

Zakázané IP adresy: Blokujte pokusy o prihlásenie z konkrétnych IP adries alebo rozsahov. Systém:

• Validuje IP adresy voči zoznamu zakázaných pred spracovaním prihlásenia
• Zabraňuje vám náhodne zakázať vašu vlastnú aktuálnu IP adresu
• Podporuje oddelené zoznamy zakázaných pre obchodnícky a afiliátsky panel

Povolené IP adresy: Obmedzte prístup k prihláseniu na whitelist schválených IP adries:

• Iba používatelia pripájajúci sa z whitelistovaných IP sa môžu prihlásiť
• Podporuje jednotlivé IP adresy aj IP rozsahy
• Chráni vás pred zamknutím validáciou, či je vaša aktuálna IP na zozname pred uložením

Limitovanie prihlásení

Pokusy o prihlásenie sú limitované na prevenciu brute-force útokov:

• Limitovanie na IP: Limituje počet pokusov o prihlásenie z jednej IP adresy za hodinu
• Limitovanie na používateľské meno: Limituje pokusy voči konkrétnemu používateľskému menu na prevenciu cielených útokov
• Konfigurovateľné limity pre obchodnícky aj afiliátsky panel
• Neúspešné pokusy sú sledované pomocou systému token bucket

Služba prihlasovacích kľúčov

Pre bezpečné single sign-on a funkciu “Prihlásiť sa ako” Post Affiliate Pro používa dočasné prihlasovacie kľúče:

• Prihlasovacie kľúče sú platné iba 30 sekúnd
• Každý kľúč môže byť použitý iba raz (spotrebovaný pri použití)
• Kľúče sú kryptograficky generované pomocou bezpečných náhodných funkcií
• Kontroly oprávnení zabezpečujú, že iba autorizovaní používatelia môžu generovať prihlasovacie kľúče pre iné účty

Ochrana pred podvodmi s predajmi

Post Affiliate Pro obsahuje dedikovaný plugin Sale Tracking Fraud Protection, ktorý používa MD5 kontrolné súčty na overenie autenticity transakcií.

Ako to funguje

1. Keď je predaj sledovaný, systém vypočíta MD5 kontrolný súčet pomocou celkovej ceny, ID objednávky a tajného kľúča
2. Tento kontrolný súčet musí byť zahrnutý s požiadavkou na sledovanie predaja
3. Systém prepočíta kontrolný súčet a porovná ho s odoslanou hodnotou
4. Ak sa kontrolné súčty nezhodujú, transakcia je odmietnutá

Možnosti konfigurácie

• Globálny tajný kľúč: Nastavte predvolený tajný kľúč pre všetky kampane
• Kľúče špecifické pre kampaň: Prepíšte globálny kľúč jedinečnými kľúčmi pre kampaň pre dodatočné zabezpečenie
• Parameter kontrolného súčtu: Vyberte, ktoré dátové pole nesie kontrolný súčet (data1 až data5)

Táto ochrana zabezpečuje, že sú sledované iba legitímne predaje z vašej webovej stránky, čím zabraňuje podvodným odoslaniam transakcií z externých zdrojov.

Ochrana pred podvodmi s kliknutiami

Post Affiliate Pro monitoruje všetky kliknutia a môže automaticky odmietnuť alebo zahodiť podvodné.

Metódy detekcie

Detekcia duplicitných kliknutí: Identifikuje kliknutia z rovnakej IP adresy v rámci konfigurovateľného časového obdobia:

• Nastavte časové okno v sekundách
• Voliteľne vyžadujte rovnaký user agent pre detekciu duplicít
• Voliteľne vyžadujte rovnaký banner alebo kampaň pre prísnejšiu detekciu
• Vyberte si odmietnuť (označiť ako podvodné) alebo neuložiť kliknutie

Ochrana zakázaných IP: Blokujte kliknutia od známych zlých aktérov:

• Definujte zakázané IP adresy a rozsahy
• Kliknutia zo zakázaných IP sú automaticky odmietnuté alebo zahodené
• Oddelené nastavenia dostupné pre každý účet

Ochrana zakázaných referrerov: Blokujte kliknutia z podozrivých referrer URL:

• Definujte vzory pre zakázané referrer URL
• Zabraňuje podvodom s kliknutiami z určitých webových stránok alebo zdrojov návštevnosti

Zoznamy povolených IP/referrerov: Vytvorte whitelist pre legitímnu návštevnosť:

• Akceptujte kliknutia iba z schválených IP rozsahov
• Akceptujte kliknutia iba z schválených referrer URL
• Možnosť povoliť prázdne referrery
• Možnosť povoliť domény cieľového bannera

Akcie ochrany pred podvodmi

Pre každý typ detekcie si môžete vybrať:

• Odmietnuť: Uložiť kliknutie, ale označiť ho ako odmietnuté (viditeľné v reportoch)
• Neuložiť: Úplne zahodiť kliknutie (neuložené do databázy)

Ochrana pred podvodmi s akciami/predajmi

Podobné ochrany existujú pre sledovanie predajov a leadov.

Detekcia duplicít

Duplicitné objednávky z rovnakej IP: Detekcia viacerých predajov z rovnakej IP adresy:

• Konfigurovateľné časové okno v sekundách
• Voliteľné zhoda podľa user agenta, kampane, ID produktu, ID objednávky alebo typu provízie
• Zabraňuje rýchlym podvodným odoslaniam predajov

Duplicitné ID objednávok: Detekcia predajov s rovnakým ID objednávky:

• Konfigurovateľné časové okno v hodinách
• Voliteľné zhoda podľa kampane alebo ID produktu
• Zabraňuje duplicitným výplatám provízií z obnovenia stránky alebo replay útokov

Zamykanie objednávok

Pri spracovaní predaja systém dočasne zamkne ID objednávky:

• Zabraňuje race conditions, keď je rovnaká objednávka odoslaná viackrát súčasne
• Zámok expiruje po 60 sekundách
• Blokované duplicitné objednávky dostávajú jasné chybové správy

Ochrana IP a referrerov

Predaje dedia rovnaké ochrany zakázaných/povolených IP a referrerov ako kliknutia:

• Blokovanie predajov zo zakázaných IP adries
• Blokovanie predajov zo zakázaných referrer URL
• Povoľte predaje iba z whitelistovaných IP alebo referrerov
• Vlastné správy odmietnutia pre každý typ ochrany

Dvojfaktorová autentifikácia

Post Affiliate Pro podporuje TOTP (Time-based One-Time Password) dvojfaktorovú autentifikáciu pre zvýšenú bezpečnosť účtu.

Implementácia

• Používa štandardný TOTP algoritmus kompatibilný s Google Authenticator a podobnými aplikáciami
• Generuje jedinečný tajný kľúč pre každého používateľa bezpečne uložený v atribútoch používateľa
• Poskytuje QR kódy pre jednoduché nastavenie mobilnej aplikácie
• Validuje kódy s 90-sekundovým oknom (3 periódy po 30 sekundách)

Bezpečnostné funkcie

• Limitované: Validácia dvojfaktorového kódu je limitovaná na 5 pokusov za minútu
• Zneplatnenie relácií: Povolenie 2FA zneplatní všetky ostatné aktívne relácie pre daného používateľa
• Zneplatnenie žiadostí o heslo: Čakajúce žiadosti o reset hesla sú zneplatnené, keď je 2FA povolená
• Audit logging: Aktivácia 2FA je logovaná v audit trase

Dostupnosť

Dvojfaktorová autentifikácia je dostupná pre:

• Používateľov obchodníckeho panela
• Používateľov afiliátskeho panela

Každý používateľ môže nezávisle povoliť 2FA cez svoje nastavenia profilu.

Osvedčené bezpečnostné postupy

Na maximalizáciu bezpečnosti vašej inštalácie Post Affiliate Pro:

Bezpečnosť API

1. Pravidelne rotujte API kľúče: Nastavte dátumy expirácie a periodicky nahrádzajte kľúče
2. Používajte minimálne rozsahy: Udeľujte iba oprávnenia, ktoré každá integrácia skutočne potrebuje
3. Implementujte IP whitelisting: Obmedzte API prístup na známe IP serverov
4. Monitorujte používanie: Kontrolujte počty použití API kľúčov a časové značky posledného použitia
5. Používajte OAuth pre tretie strany: Preferujte krátkodobé OAuth tokeny pre externé integrácie

Bezpečnosť účtov

1. Povoľte dvojfaktorovú autentifikáciu: Vyžadujte 2FA pre všetky obchodnícke účty
2. Používajte silné heslá: Kombinujte s 2FA pre maximálnu ochranu
3. Nakonfigurujte limity prihlásenia: Nastavte vhodné limity na prevenciu brute-force útokov
4. Implementujte IP obmedzenia: Používajte zoznamy povolených IP pre citlivé účty
5. Kontrolujte audit logy: Pravidelne kontrolujte audit log kvôli podozrivej aktivite

Prevencia podvodov

1. Povoľte ochranu pred podvodmi s predajmi: Používajte MD5 kontrolné overenie pre všetky kampane
2. Nakonfigurujte detekciu duplicít: Nastavte vhodné časové okná pre váš obchodný model
3. Proaktívne používajte zakázanie IP: Blokujte známe podvodné IP rozsahy
4. Monitorujte odmietnuté transakcie: Kontrolujte odmietnuté kliknutia a predaje kvôli vzorom
5. Prispôsobte správy o podvodoch: Jasné správy pomáhajú legitímnym používateľom pochopiť odmietnutia

Zdroje znalostnej databázy

Pre podrobné konfiguračné inštrukcie navštívte našu podpornú dokumentáciu:

• API v3 dokumentácia
• Správa API kľúčov
• Vytvorenie OAuth tokenu
• Konfigurácia ochrany pred podvodmi