Proteggi una pagina dai raccoglitori di email

Naviga le tue risposte
2

Sto creando una pagina in cui un cliente può modificare il suo ordine prima di pagarlo. La pagina verrà eliminata non appena l'ordine viene pagato, ma qual è il modo migliore per proteggersi contro i robot di raccolta di numeri di e-mail / telefono? Deve contenere l'indirizzo email e / o il numero di telefono. Non c'è modo di aggirare questo. (Indirizzo di spedizione anche.)

Sebbene la pagina scada in pochi minuti nella maggior parte dei casi, desidero comunque che un cliente sia sicuro se sceglie di effettuare un ordine ora e lo paga diversi mesi dopo. (La natura della mia attività è che sapere cosa vorresti ordinare potrebbe richiedere un po 'di sforzo e di ricerca, che un cliente non vorrebbe ripetere se decidesse di ritardare il suo ordine fino a quando può permettersi di pagarlo.)

Inoltre, il sito attualmente non ha un sistema di accesso. Ne svilupperò uno alla fine, ma anche una volta che faccio, voglio sempre che l'acquisto anonimo sia un'opzione. Un cliente dovrebbe essere in grado di modificare il proprio ordine in qualsiasi momento dal link inviato via email a loro senza creare un nome utente / password.

Prima ho avuto questo problema, stavo per farlo essere www.domainexample.com?id=7 , ma ogni bot potrebbe controllare id=6 e id=5 per vedere se sono stati ancora spediti, e id=8 per vedere se c'è è un nuovo ordine ancora.

Come posso fornire un livello simile di protezione contro il furto di indirizzi e-mail che siti più grandi e professionali come eBay offrirebbero? (Se ciò è possibile anche con gli acquisti anonimi, lo spero.)

Chiunque offra consigli specifici per la lingua, sto codificando in php / javascript / html. Anche se sono sicuro di poter consultare l'equivalente php di tutti i suggerimenti offerti.

Modifica:

Dettagli importanti che ho dimenticato di menzionare. Il pubblico di riferimento sono vecchie signore che riescono a malapena a usare un computer. Qualsiasi funzione di sicurezza che influisce sull'esperienza utente potrebbe costare centinaia di dollari in vendite mancate dal momento che il sito Web diventa troppo intimidatorio da utilizzare.

    
posta Jonathon Philip Chambers 19.08.2018 - 09:29
fonte

2 risposte

2

Before I had this concern, I was going to have it be www.domainexample.com?id=7, but any bot could check id=6 and id=5 to see if they've been shipped yet, and id=8 to see if there is a new order yet.

Genera un ID lungo e casuale. Se per esempio generi un UUID versione 4 sarà unico e non immaginabile. Chiunque abbia l'URL può accedervi, ma è impossibile indovinare il link.

L'UUID è essenzialmente l'autenticazione in questo caso.

    
risposta data 19.08.2018 - 09:34
fonte
2

Also, the site currently has no log on system. I will develop one eventually, but even once I do, I always want anonymous purchasing to be an option. A customer should be able to edit their order at any time from the link emailed to them without creating a username/password.

È possibile implementare qualcosa come la tecnica OTP (password monouso). Ad esempio, aggiungi un parametro specifico per la sessione al link che invii all'utente. Ogni volta che il client utilizza il collegamento per accedere alla pagina, il sistema genera lo stesso collegamento ma con valori di parametri di sessione diversi per l'accesso successivo. Terze parti, inclusi i bot, non saranno in grado di raggiungere dati di acquisto anonimi.
I valori dei parametri nel link devono essere casuali e unici per ogni sessione.

Before I had this concern, I was going to have it be www.domainexample.com?id=7, but any bot could check id=6 and id=5 to see if they've been shipped yet, and id=8 to see if there is a new order yet.

In questo caso puoi prendere in considerazione due livelli di protezione:

  • Al primo livello il tuo sistema dovrebbe impedire ai bot di accedere al web pagina, questo può essere implementato presentando una sfida, qualcosa come Captcha.
  • Al secondo livello, rendere impossibile per i robot raccogliere contenuti sensibili come e-mail che vengono visualizzati in stringhe non elaborate (selezionabili tramite il cursore), ciò può essere fatto visualizzando stringhe sotto forma di immagini. Esistono già un paio di librerie per questo argomento stringa di visualizzazione del php nell'immagine .
risposta data 19.08.2018 - 13:12
fonte

Leggi altre domande sui tag

Malwarebytes ha trovato i bitcoin miners dopo aver installato una nuova unità. Il mio sistema è fregato? Quanto è grande l'uomo nella minaccia di mezzo dall'esterno della rete quando comunica su una intranet?