Ho un servizio con esperienza "provalo subito" che al momento offre uno sforzo "one-click".
Questo servizio ha un pool di risorse N (diciamo 50).
Ogni nuova risorsa impiega circa 1 ora per generare.
In che modo questo servizio può essere protetto da un utente malintenzionato per svuotare il mio pool di risorse?
Abbiamo seguito alcuni suggerimenti, ma finora nulla sembra risolvere il problema:
- Utilizzo della convalida della posta elettronica (le email possono essere facilmente falsificate oggi - ad esempio con yopmail)
- Usando qualche accesso esterno (Google, Facebook ecc.) - di nuovo, gli utenti possono aprire tutti gli account che vogliono.
- Limitazione richiesta IP - Gli IP possono essere modificati facilmente.
- Servizi come Incapsula o Cloudflare non possono davvero aiutare in questo scenario.
- Captcha non avrà alcun effetto
I candidati seri hanno implicazioni serie per l'utente e non sembrano essere sostenibili - come chiamare ogni utente che vuole eseguire la demo e parlare con loro, e quindi passargli manualmente qualche link.
forse utilizzare la convalida della posta elettronica con una sorta di lista nera di email tramite regex (ad esempio .*@yopmail.*
) può fare il lavoro.
Qual è il modo giusto per affrontare questo scenario?