Come posso proteggere il servizio "prova con un clic"?

2

Ho un servizio con esperienza "provalo subito" che al momento offre uno sforzo "one-click".

Questo servizio ha un pool di risorse N (diciamo 50).

Ogni nuova risorsa impiega circa 1 ora per generare.

In che modo questo servizio può essere protetto da un utente malintenzionato per svuotare il mio pool di risorse?

Abbiamo seguito alcuni suggerimenti, ma finora nulla sembra risolvere il problema:

  • Utilizzo della convalida della posta elettronica (le email possono essere facilmente falsificate oggi - ad esempio con yopmail)
  • Usando qualche accesso esterno (Google, Facebook ecc.) - di nuovo, gli utenti possono aprire tutti gli account che vogliono.
  • Limitazione richiesta IP - Gli IP possono essere modificati facilmente.
  • Servizi come Incapsula o Cloudflare non possono davvero aiutare in questo scenario.
  • Captcha non avrà alcun effetto

I candidati seri hanno implicazioni serie per l'utente e non sembrano essere sostenibili - come chiamare ogni utente che vuole eseguire la demo e parlare con loro, e quindi passargli manualmente qualche link.

forse utilizzare la convalida della posta elettronica con una sorta di lista nera di email tramite regex (ad esempio .*@yopmail.* ) può fare il lavoro.

Qual è il modo giusto per affrontare questo scenario?

    
posta guy mograbi 28.08.2014 - 23:27
fonte

1 risposta

1

Prima idea: utilizzare SMS o chiamate telefoniche automatizzate per fornire una password unica. Metti il loro numero di telefono sulla lista nera dopo questo. È possibile utilizzare qualsiasi servizio cloud di autenticazione SMS o qualsiasi servizio cloud di autenticazione basato su telefono per questo. Ottenere una nuova carta SIM o numero di telefono mobile è troppo ingombrante perché un utente possa ottenere un'altra risorsa gratuita.

Tuttavia:

Questa è una domanda con cui molte aziende lottano. La maggior parte delle aziende risolve questo problema semplicemente richiedendo l'impostazione di un metodo di pagamento per provare il servizio. Immagino tu intenda che il primo è gratuito e il resto costa denaro.

Quindi lo fai semplicemente per ottenere il 1 ° libero, devono inserire il loro numero di carta di credito, come se dovessero pagare. È quindi possibile mettere che il loro numero di carta di credito ha 1a risorsa gratuita. La prossima volta che provano con la stessa carta di credito, saranno addebitati.

Ovviamente, in base allo standard PCI DSS, non è consentito memorizzare semplici PAN. Tuttavia, quando si utilizza un servizio di pagamento esterno, non è necessario preoccuparsi di PCI DSS e molte volte si otterrà una versione offuscata del numero CC, ad esempio:

1234 5678 **** 1234

quindi puoi ancora identificare gli utenti che ritornano. Lo farai semplicemente addebitando all'utente l'intero prezzo del servizio (dal momento che il fornitore di pagamenti esterno addebiterà tutti i CC inseriti con il prezzo che hai passato, anche se è un utente gratuito). Ma se è un utente libero, il tuo sistema percepirà che il CC offuscato è "sconosciuto" e immediatamente processerà un rimborso, facendo sì che il denaro ritorni all'account utente entro una settimana. Assicurati di informare che il denaro verrà prelevato temporaneamente dall'account quando ricevi il servizio gratuito.

La maggior parte delle aziende utilizza questo metodo, anche aziende di grandi dimensioni come Netflix, Spotify e Google, per impedire alle persone di ottenere molti mesi gratuiti. Molti provider VPN utilizzano questo metodo anche per impedire agli utenti di acquisire più account di prova.

Ottenere nuove carte dal proprio fornitore di CC costa nella maggior parte dei casi denaro ed è più costoso e ingombrante per l'utente (al fine di ottenere più tempo di prova gratuito) rispetto al pagamento effettivo per il servizio.

    
risposta data 31.08.2014 - 04:41
fonte

Leggi altre domande sui tag