Wczoraj pisałem o błędzie jaki wyświetlał się na jednej ze stron, prawdopodobnie w momencie niedostępności usługi/serwera baz danych. Uznałem, że to przypadek wart pokazania, bo oprócz informacji o przyczynach niedostępności strony wyświetlane były wszystkie dane związane z autoryzacją do serwera MySQL (adres, nazwa użytkownika i hasło, port). Sytuacja potencjalnie bardzo niebezpieczna, choć przy poprawnej konfiguracji dostępu do bazy danych (np. ograniczenie zdalnego łączenia się z bazą danych dla danego użytkownika) nie jest tak źle, i – jeśli podobne dane nie były wykorzystywane nigdzie indziej – to co najwyżej „lekko kompromitująca” dla osób odpowiedzialnych za skrypt/stronę… ;-)

Dziś będzie za to będzie o innym błędzie, tym razem może niezwiązanym bezpośrednio z bezpieczeństwem strony, ale potencjalnie niebezpiecznym z punktu widzenia biznesu, jakim jest sklep internetowy, który ma sprzedawać.

Too many requests from this IP. (Err: 4-NGX-0-429)

Niedawno robiłem większe zakupy związane m.in. z domowym wyrobem piwa i cydru (bez destylacji, a więc legalnie można w domu na własne potrzeby). Przy tej okazji odwiedziłem kilka sklepów, gdzie wybrałem sobie produktu, które postanowiłem kupić. Jednym z tych sklepów był sklep internetowy WinoDomowe.pl, działający w ramach platformy IAI-shop.com (sklep jako usługa, czyli typowy SaaS).

Z racji tego, że kolega też przymierzał się do tego typu zakupów, zaproponowałem mu by przejrzał wieczorem ofertę sklepu, i jak coś go zainteresuje, to niech podeśle mi linki, wtedy rano zrobię wspólne zakupy (optymalizacja, czyli koszt wysyłki dzielimy na dwa ;-)).

Następnego dnia uruchomiłem komputer oraz przeglądarkę internetową, która automatycznie otworzyła mi kilka „zostawionych na później” stron w sklepie. I na tym zakończyły się moje zakupy we wspomnianym sklepie:

Otworzenie okna przeglądarki z zapisanymi na później pięcioma kartami wybranych produktów z oferty sklepu spowodowało wyświetlenie błędu:

Too many requests from this IP. (Err: 4-NGX-0-429)

Czyli z zakupów nici. Zapewne po jakimś czasie blokada automatycznie by ustała, ale w tej sytuacji postanowiłem wybrać ofertę konkurencyjnego sklepu, gdzie podobna operacja, tylko z jeszcze większą liczbą zapisanych kart przebiegła bez problemu.

Przy tej okazji pomyślałem, że skoro sklep internetowy ma sprzedawać, a ten konkretny – przynajmniej tym razem – nie był w stanie tego zrobić, i to z tak wydawałoby się abstrakcyjnego powodu, to postanowiłem sprawdzić co to za ustrojstwo mnie zablokowało.

Ochrona anty-DDOS dla wszystkich sklepów IAI

Po krótkich poszukiwaniach trafiłem na informację na blogu IAI-chop.com o aktywacji „zabezpieczenia anty-DDOS dla wszystkich sklepów IAI”:

Mając na uwagę ochronę sklepów internetowych IAI, zwłaszcza w okresie przedświątecznego szczytu zakupowego, wprowadziliśmy program ochrony naszych klientów przed działaniami wrogimi mającymi na celu paraliżowanie stron internetowych w sposób świadomy lub nie (np. konkurencja która napisała skaner cen).

(…)

Wynikiem lat doświadczeń w tej kwestii było stworzenie w pełni automatycznego narzędzia, które zabezpiecza sklepy internetowe przed aktywnością ataków typu DOS (…) Warto podkreślić, że pod tym względem IAI dba wyjątkowo o bezpieczeństwo i dostępność sklepów, znacząco wyprzedzając trendy na rynku.

W tym momencie już wiedziałem, że dzięki „latom doświadczeń w kwestii tworzenia w pełni automatycznego narzędzie do zabezpieczenia sklepów internetowych” został skutecznie zablokowany mój 5-kartowy atak typu DOS, co pozwoliło zwiększyć „dostępność sklepu”, dzięki czemu sklep „znacząco wyprzedził rynkowe trendy”, odsyłając zainteresowaną osobę do konkurencji… ;-)

Na koniec jeszcze cytat z bardziej szczegółowym wyjaśnieniem mechanizmu działania blokady:

Rozwiązaniem, jakie wprowadziliśmy jest analizator ilości otwieranych stron dynamicznych na minutę. Wartość ta może być zmieniona przez operatora sklepu, jednak domyślnie wynosi ona 60 stron na minutę (średnio 1 strona na sekundę). Jest to wartość pozornie niska, jednak wykraczająca znacznie poza możliwości szybkiego klikania przez człowieka. Jeżeli system wykryje większą częstotoliwość (sic!) otwierania stron, blokuje dany adres IP na określoną ilość minut (domyślnie 10). Obie wartości można zmienić lub wyłączyć moduł całkowicie w panelu administracyjnym sklepu w zakładce ADMINISTRACJA \ Zarządzanie domenami i usługami systemowymi sklepu \ Zabezpieczenie przed atakami DDOS oraz skanerami cen.

Sama idea stojąca za tego typu rozwiązaniem wydaje się słuszna, choć w moim przypadku coś poszło nie tak. Dla mnie bez znaczenia jest to, czy w tym przypadku zawiodły ustawienia domyślne, czy klient dokonał ręcznej modyfikacji ustawień, i z powodu braku doświadczenia coś przeszacował. Istotne jest to, że przez to sklep stracił klienta. A patrząc po informacjach w internecie nie był to pierwszy taki przypadek, ani nie był to też pierwszy sklep, który zaserwował tego typu blokadę potencjalnemu klientowi.

Nie ma też co ukrywać, że firma IAI robi to z dobrego serca, tylko w interesie swoich klientów. Bo skoro sklep internetowy dostarczany jest jako usługa (świadczona w modelu SaaS), to po stronie usługodawcy (IAI) jest zapewnić odpowiednio wydaje serwery, by sklepy klientów działały prawidłowo, nawet w okresie przedświątecznej gorączki. Choć mam też świadomość, że – zwłaszcza w tym okresie – faktycznie „lata po sklepach internetowych” sporo robotów/automatów, których celem jest skanowanie oferty na potrzeby różnych raportów, np. dla konkurencji.

Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Monika ćwiczy przed kongresem ko..., ale dzięki motywowa Divi od Elegant Themes chyba nawet ona da radę...
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Na WebInsider.pl korzystamy z motywu Extra od Elegant Themes. Zobacz dlaczego...