Как обезопасить сайт от ботов и взломов?

Question

[Евгений]

Здравствуйте. Помогите с задачей.
Есть сайт в котором пользователи могут публиковать объявления о продаже своего товара.
Мы хотим сделать, так чтобы можно они могли публиковать без регистрации и авторизации.
Как обезопасить сайт от спама и всевозможных атак? Допустим мы применим рекапчу и отслеживание большого количество запросов в минуту. Если пользователь делает более 100 публикаций в минуту, блокируем. Этого достаточно или что то упускаю? Спасибо за подробный ответ.

Comments

[Владимир Коротенко]

И да как вы намерены продавать? Биткоин?

[Евгений]

Человек выставляет объявление о продаже своего автомобиля. Указывает номер телефона без подтверждения телефона. Публикует и все. Для защиты рекапчка и какой ни будь пример. Дальше пользователи могут смотреть это объявление и связываться с ним по телефону который он указал.

[Сергей delphinpro]

Без шансов. Завалят спамом. А может и нелегальными услугами. И вас быстренько прикроют. В лучшем случае.

Answer 1

[xmoonlight]

1. Сделать - это можно: капча + локальный ID=логин+пасс+random+timestamp с хранением в datastorage (его можно создать в любой момент даже без участия пользователя).

Но встают моменты: телефон без подтверждения => телефон укажут чужой просто, чтобы кого-то постоянно спамили звонками => сайт закроют быстро по жалобам.

2. Про остальное, в плане безопасности - это настройка правил файрволла и правил веб-сервера.

Comments

[Евгений]

Понял. Спасибо за подробный ответ

[xmoonlight]

Евгений, Не за что...
Добавлю: Хотите сделать проще для юзеров - начните с написания модели рисков со стороны сервера, владельца сайта, пользователя и т.д. (по всем ролям системы).

Answer 2

[Владимир Коротенко]

Без регистрации это говно а не клиент. Уж извините за лексику. Дятел вообще не клиент. Спэмер ну тоже не клиент. И в итоге вы отсеите 80%

Comments

[Евгений]

Понял. Спасибо за подробный ответ

Answer 3

[MrGroovy]

Мы хотим сделать, так чтобы можно они могли публиковать без регистрации и авторизации.

Если вы собираетесь сделать доску объявлений без регистрации то вам придется столкнуться не только со спамом но и с флудом.
Вам необходима капча и детальная настройка вводимых данных пользователем (Например ограничение объявления 450 символами).

Если пользователь делает более 100 публикаций в минуту, блокируем. Этого достаточно или что то упускаю?

Вы упускаете возможность того, что ваш сайт могут взломать. Например посредствам XSS уязвимости украдут cookie сессию администратора. Проверить на уязвимости можно специальными сканерами Legion, OWASP ZAP или Sparta. Из онлайн вариантов подойдут специальные ресурсы, сканеры уязвимостей, которые могут проверить большинство уязвимостей на каждом из уровней. https://metascan.ru или https:// detectify.com/ Они покажут XSS уязвимости, возможность внедрения SQL инъекций и уязвимости сетевого стека.