Fejlett biztonsági funkciók

Elérhető:

Post Affiliate Pro , Post Affiliate Pro Ultimate , Post Affiliate Network

A Post Affiliate Pro vállalati szintű biztonsági funkciókat biztosít, amelyek célja a partnerprogram védelme a jogosulatlan hozzáférés, visszaélés és csalás ellen. Ez az útmutató a platformba épített fejlett biztonsági mechanizmusokat ismerteti.

API hitelesítési módszerek

A Post Affiliate Pro API v3 modern hitelesítési szabványokat használ a partnerprogram adataihoz és műveleteihez való biztonságos hozzáférés biztosítására.

API kulcs hitelesítés

Az API kulcsok biztonságos módszert biztosítanak a szerver-szerver kommunikációhoz. A Post Affiliate Pro minden API kulcsa tartalmazza:

• Token azonosító és hash: Az API kulcsok biztonságos token formátumot használnak egyedi azonosítóval és kriptográfiailag hashelt titokkal. A szöveges token soha nem kerül tárolásra az adatbázisban.
• Lejárati dátum: Beállíthat lejárati dátumot az API kulcsokhoz a rendszeres cserélés biztosítására.
• Szerepkör-alapú hozzáférés: Minden kulcs örökli a társított felhasználói szerepkör jogosultságait.
• Hatókör korlátozások: Meghatározhat specifikus hatóköröket, amelyek korlátozzák az API kulcs által végezhető műveleteket.
• IP engedélyezési lista: Korlátozhatja az API kulcs használatát meghatározott IP címekre vagy CIDR tartományokra.
• Használat követés: A rendszer követi, mikor használták utoljára az egyes kulcsokat és hányszor lettek elérve.

Az API kulccsal történő hitelesítéshez foglalja bele Bearer tokenként az Authorization fejlécbe:

Authorization: Bearer pap_XXXXXXXXXX_YYYYYYYYYYYYYYYYYYYYYYYYYYYY

OAuth 2.0 hitelesítés

Harmadik féltől származó integrációkhoz és ideiglenes hozzáféréshez a Post Affiliate Pro támogatja az OAuth 2.0 bearer tokeneket hatókör validálással. Az OAuth hitelesítő:

• Validálja a bearer tokeneket az API kulcs adatbázissal szemben
• Ellenőrzi, hogy a token rendelkezik-e az összes szükséges hatókörrel a kért művelethez
• Egyértelmű hibaüzeneteket ad vissza elégtelen jogosultságok esetén (HTTP 403)
• Zökkenőmentesen integrálódik a sebességkorlátozási rendszerrel

A hatókör-alapú jogosultságok részletes szabályozást tesznek lehetővé arról, hogy az egyes tokenek mihez férhetnek hozzá, biztosítva, hogy a harmadik féltől származó integrációk csak a szükséges adatokhoz férjenek hozzá.

Indítsd el affiliate programodat még ma

Állítsd be a fejlett nyomkövetést percek alatt. Bankkártya nem szükséges.

Demó kérése 30 napos ingyenes próba indítása

Sebességkorlátozás

A Post Affiliate Pro intelligens sebességkorlátozást implementál a partnerprogram védelme érdekében a visszaélésekkel, szolgáltatásmegtagadási kísérletekkel és elszabadult automatizálási szkriptekkel szemben.

Globális API sebességkorlátok

Az API v3 a következő sebességkorlátokat érvényesíti:

• Percenként 100 kérés minden API végpontra
• Percenként 10 sikertelen hitelesítési kísérlet IP-címenként a bearer token hitelesítéshez

Amikor túllépi a sebességkorlátot, az API visszaadja:

• HTTP 429 (Túl sok kérés) státuszkódot
• Retry-After fejlécet, amely jelzi, mikor próbálkozhat újra
• X-RateLimit-Limit fejlécet, amely a maximálisan engedélyezett kéréseket mutatja
• X-RateLimit-Remaining fejlécet, amely a jelenlegi ablakban fennmaradó kéréseket mutatja
• X-RateLimit-Reset fejlécet, amely megmutatja, mikor áll vissza a sebességkorlát

Token vödör algoritmus

A sebességkorlátozás token vödör algoritmust használ, amely biztosítja:

• Konfigurálható időablakok (másodperc, perc, óra, nap, hét, hónap)
• Az elérhető kérések fokozatos feltöltődése idővel
• Védelem mind a tartós visszaélések, mind a hirtelen támadások ellen
• Külön vödrök a különböző típusú műveletekhez (hitelesítés, jelszó visszaállítás, feliratkozások, stb.)

Hitelesítési sebességkorlátozás

A sikertelen hitelesítési kísérletek külön követésre kerülnek a brute-force támadások megelőzésére:

• A sikertelen bearer token hitelesítések tokeneket fogyasztanak egy IP-specifikus vödörből
• 10 sikertelen kísérlet után egy percen belül a további hitelesítési kísérletek blokkolva lesznek
• A sikeres hitelesítés visszaállítja az adott IP sikertelen számlálóját
• A sebességkorlát státusz naplózásra kerül a biztonsági megfigyeléshez

Munkamenet biztonság

A Post Affiliate Pro robusztus munkamenet kezelést implementál a felhasználói fiókok védelmére.

Munkamenet kezelési funkciók

• Biztonságos munkamenet azonosítók: A munkamenetek 32 karakteres kriptográfiailag biztonságos azonosítókat használnak
• Munkamenet validálás: Minden kérés validálja a munkamenet állapotát és a társított modult
• Munkamenet lejárat: A lejárt munkamenetek automatikusan észlelésre és kezelésre kerülnek
• Munkamenet tárolás: A munkamenetek adatbázisban vagy Redis-ben tárolhatók nagy teljesítményű környezetekhez
• Több munkamenet vezérlés: A felhasználók más munkamenetei megszüntethetők, amikor biztonságkritikus változások történnek

Munkamenet megszüntetés biztonsági eseményeknél

Kritikus biztonsági események bekövetkeztekor a Post Affiliate Pro automatikusan megszünteti a kapcsolódó munkameneteket:

• A kétfaktoros hitelesítés engedélyezése érvényteleníti az összes többi aktív munkamenetet
• A jelszóváltoztatások kiválthatják a munkamenet érvénytelenítését
• Az API kulcs törlése megszünteti a társított munkameneteket
• A fiók státusz változásai kiváltják a munkamenet tisztítást

Iratkozz fel hírlevelünkre

Értesülj elsőként az új funkciókról és termékfrissítésekről.

E-mail cím

Feliratkozás

Bejelentkezés védelem

A Post Affiliate Pro átfogó bejelentkezés védelmet biztosít konfigurálható beállításokkal mind a kereskedői, mind a partner panelekhez.

IP-alapú korlátozások

Tiltott IP címek: Blokkolja a bejelentkezési kísérleteket meghatározott IP címekről vagy tartományokból. A rendszer:

• Validálja az IP címeket a tiltott listával szemben a bejelentkezés feldolgozása előtt
• Megakadályozza, hogy véletlenül tiltsa le a saját jelenlegi IP címét
• Támogatja a külön tiltott listákat a kereskedői és partner panelekhez

Engedélyezett IP címek: Korlátozza a bejelentkezési hozzáférést a jóváhagyott IP címek fehérlistájára:

• Csak az engedélyezett IP-kről csatlakozó felhasználók jelentkezhetnek be
• Támogat egyedi IP címeket és IP tartományokat is
• Megvédi a kizárástól azáltal, hogy validálja a jelenlegi IP-jét a listán a mentés előtt

Bejelentkezések sebességkorlátozása

A bejelentkezési kísérletek sebességkorlátozottak a brute-force támadások megelőzésére:

• IP-nkénti sebességkorlátozás: Korlátozza az egyetlen IP címről érkező bejelentkezési kísérletek számát óránként
• Felhasználónévenkénti sebességkorlátozás: Korlátozza az adott felhasználónév elleni kísérleteket a célzott támadások megelőzésére
• Konfigurálható korlátok mind a kereskedői, mind a partner panelekhez
• A sikertelen kísérletek követése a token vödör rendszer használatával történik

Bejelentkezési kulcs szolgáltatás

A biztonságos egyszeri bejelentkezéshez és a “Bejelentkezés másként” funkcióhoz a Post Affiliate Pro ideiglenes bejelentkezési kulcsokat használ:

• A bejelentkezési kulcsok csak 30 másodpercig érvényesek
• Minden kulcs csak egyszer használható (használatkor felhasználódik)
• A kulcsok kriptográfiailag generáltak biztonságos véletlenszám függvények használatával
• Jogosultsági ellenőrzések biztosítják, hogy csak engedélyezett felhasználók generálhassanak bejelentkezési kulcsokat más fiókokhoz

Eladás csalás elleni védelem

A Post Affiliate Pro tartalmaz egy dedikált Eladás követési csalás elleni védelem bővítményt, amely MD5 ellenőrző összegeket használ a tranzakció hitelességének ellenőrzésére.

Hogyan működik

1. Amikor egy eladás követésre kerül, a rendszer MD5 ellenőrző összeget számít az összköltség, rendelés azonosító és egy titkos kulcs használatával
2. Ezt az ellenőrző összeget mellékelni kell az eladás követési kéréshez
3. A rendszer újraszámítja az ellenőrző összeget és összehasonlítja a beküldött értékkel
4. Ha az ellenőrző összegek nem egyeznek, a tranzakció elutasításra kerül

Konfigurációs beállítások

• Globális titkos kulcs: Állítson be egy alapértelmezett titkos kulcsot az összes kampányhoz
• Kampány-specifikus kulcsok: Írja felül a globális kulcsot egyedi kulcsokkal kampányonként a további biztonság érdekében
• Ellenőrző összeg paraméter: Válassza ki, melyik adatmező hordozza az ellenőrző összeget (data1-től data5-ig)

Ez a védelem biztosítja, hogy csak a weboldaláról származó legitim eladások kerüljenek követésre, megakadályozva a csalárd tranzakció beküldéseket külső forrásokból.

Kattintás csalás elleni védelem

A Post Affiliate Pro figyeli az összes kattintást és automatikusan elutasíthatja vagy elvetheti a csalárdakat.

Felismerési módszerek

Duplikált kattintás felismerés: Azonosítja az ugyanarról az IP címről érkező kattintásokat egy konfigurálható időszakon belül:

• Állítsa be az időablakot másodpercekben
• Opcionálisan követelje meg ugyanazt a user agentet a duplikátum felismeréshez
• Opcionálisan követelje meg ugyanazt a bannert vagy kampányt a szigorúbb felismeréshez
• Válassza az elutasítást (csalárdként jelölés) vagy a mentés mellőzését a kattintáshoz

Tiltott IP védelem: Blokkolja az ismert rossz szereplőktől érkező kattintásokat:

• Határozzon meg tiltott IP címeket és tartományokat
• A tiltott IP-kről érkező kattintások automatikusan elutasításra vagy elvetésre kerülnek
• Külön beállítások érhetők el fiókonként

Tiltott hivatkozó védelem: Blokkolja a gyanús hivatkozó URL-ekről érkező kattintásokat:

• Határozzon meg mintákat a tiltott hivatkozó URL-ekhez
• Megakadályozza a kattintás csalást bizonyos weboldalakról vagy forgalmi forrásokból

Engedélyezett IP/Hivatkozó listák: Hozzon létre fehérlistákat a legitim forgalomhoz:

• Csak az engedélyezett IP tartományokból fogadjon el kattintásokat
• Csak az engedélyezett hivatkozó URL-ekről fogadjon el kattintásokat
• Lehetőség az üres hivatkozók engedélyezésére
• Lehetőség a banner cél domainek engedélyezésére

Csalás elleni védelmi műveletek

Minden felismerési típushoz választhat:

• Elutasítás: Mentse a kattintást, de jelölje elutasítottként (látható a jelentésekben)
• Ne mentse: Vesse el a kattintást teljesen (nem kerül mentésre az adatbázisba)

Művelet/Eladás csalás elleni védelem

Hasonló védelmek léteznek az eladások és leadek követéséhez.

Duplikátum felismerés

Duplikált rendelések ugyanarról az IP-ről: Észlelje az ugyanarról az IP címről érkező több eladást:

• Konfigurálható időablak másodpercekben
• Opcionális egyeztetés user agent, kampány, termékazonosító, rendelés azonosító vagy jutaléktípus szerint
• Megakadályozza a gyors egymás utáni csalárd eladás beküldéseket

Duplikált rendelés azonosítók: Észlelje az ugyanazzal a rendelés azonosítóval rendelkező eladásokat:

• Konfigurálható időablak órákban
• Opcionális egyeztetés kampány vagy termékazonosító szerint
• Megakadályozza a duplikált jutalék kifizetéseket oldal frissítésekből vagy visszajátszási támadásokból

Rendelés zárolás

Eladás feldolgozásakor a rendszer ideiglenesen zárolja a rendelés azonosítót:

• Megakadályozza a versenyhelyzeteket, amikor ugyanaz a rendelés többször egyszerre kerül beküldésre
• A zárolás 60 másodperc után lejár
• A blokkolt duplikált rendelések egyértelmű hibaüzeneteket kapnak

IP és hivatkozó védelem

Az eladások öröklik ugyanazokat a tiltott/engedélyezett IP és hivatkozó védelmeket, mint a kattintások:

• Blokkolja az eladásokat tiltott IP címekről
• Blokkolja az eladásokat tiltott hivatkozó URL-ekről
• Csak az engedélyezett IP-kről vagy hivatkozóktól fogadjon el eladásokat
• Egyedi elutasítási üzenetek minden védelmi típushoz

Kétfaktoros hitelesítés

A Post Affiliate Pro támogatja a TOTP (Időalapú egyszeri jelszó) kétfaktoros hitelesítést a fokozott fiókbiztonság érdekében.

Implementáció

• Standard TOTP algoritmust használ, amely kompatibilis a Google Authenticatorral és hasonló alkalmazásokkal
• Egyedi titkos kulcsot generál felhasználónként, amelyet biztonságosan tárol a felhasználói attribútumokban
• QR kódokat biztosít az egyszerű mobil alkalmazás beállításhoz
• 90 másodperces ablakkal validálja a kódokat (3 periódus, egyenként 30 másodperc)

Biztonsági funkciók

• Sebességkorlátozás: A kétfaktoros kód validálás percenként 5 kísérletre korlátozódik
• Munkamenet érvénytelenítés: A 2FA engedélyezése érvényteleníti az adott felhasználó összes többi aktív munkamenetét
• Jelszó kérés érvénytelenítés: A függőben lévő jelszó visszaállítási kérések érvénytelenítésre kerülnek a 2FA engedélyezésekor
• Auditnapló: A 2FA aktiválás naplózásra kerül az auditnyomban

Elérhetőség

A kétfaktoros hitelesítés elérhető mindkettő számára:

• Kereskedői panel felhasználók
• Partner panel felhasználók

Minden felhasználó függetlenül engedélyezheti a 2FA-t a profil beállításaikon keresztül.

Biztonsági legjobb gyakorlatok

A Post Affiliate Pro telepítés biztonságának maximalizálásához:

API biztonság

1. Rendszeresen cserélje az API kulcsokat: Állítson be lejárati dátumokat és rendszeresen cserélje a kulcsokat
2. Használjon minimális hatóköröket: Csak az egyes integrációknak ténylegesen szükséges jogosultságokat adja meg
3. Implementáljon IP fehérlistát: Korlátozza az API hozzáférést ismert szerver IP-kre
4. Figyelje a használatot: Tekintse át az API kulcs használati számokat és utolsó használati időbélyegeket
5. Használjon OAuth-ot harmadik felekhez: Részesítse előnyben a rövid élettartamú OAuth tokeneket külső integrációkhoz

Fiók biztonság

1. Engedélyezze a kétfaktoros hitelesítést: Követelje meg a 2FA-t minden kereskedői fiókhoz
2. Használjon erős jelszavakat: Kombinálja a 2FA-val a maximális védelem érdekében
3. Konfigurálja a bejelentkezési sebességkorlátokat: Állítson be megfelelő korlátokat a brute-force támadások megelőzésére
4. Implementáljon IP korlátozásokat: Használjon engedélyezett IP listákat az érzékeny fiókokhoz
5. Tekintse át az auditnaplókat: Rendszeresen ellenőrizze az auditnaplót gyanús tevékenység után

Csalás megelőzés

1. Engedélyezze az eladás csalás elleni védelmet: Használja az MD5 ellenőrző összeg validálást minden kampányhoz
2. Konfigurálja a duplikátum felismerést: Állítson be megfelelő időablakokat az üzleti modelljéhez
3. Használjon proaktív IP tiltást: Blokkolja az ismert csalárd IP tartományokat
4. Figyelje az elutasított tranzakciókat: Tekintse át az elutasított kattintásokat és eladásokat minták után kutatva
5. Szabja testre a csalás üzeneteket: Az egyértelmű üzenetek segítenek a legitim felhasználóknak megérteni az elutasításokat

Tudásbázis források

Részletes konfigurációs utasításokért látogasson el a támogatási dokumentációnkba:

• API v3 dokumentáció
• API kulcs kezelés
• OAuth token létrehozás
• Csalás elleni védelem konfiguráció