A
тут как раз “нафига нужны эти мудрёные SOLID и DDD, если потом они все равно не работают”
Size: a a a
2020 September 11
IK
а как они перебирают?
я не оч знаю по что за номера по которым они шлют, некоторые отличны от +7. Грубо говоря есть несколько групп, когда с 1го айпи шлют на 1 номер и когда с 1го айпи шлют на кучу номеров.
то есть в рамках фаст фикса накручена логика блокировки таких ребят по ip но хочется готовых решений и чужого опыта
то есть в рамках фаст фикса накручена логика блокировки таких ребят по ip но хочется готовых решений и чужого опыта
IK
видимо по каким-то базам перебирают своим. назначение я не оч понимаю, или развлекаются или достают людей смсками с разных компаний
O
я не оч знаю по что за номера по которым они шлют, некоторые отличны от +7. Грубо говоря есть несколько групп, когда с 1го айпи шлют на 1 номер и когда с 1го айпи шлют на кучу номеров.
то есть в рамках фаст фикса накручена логика блокировки таких ребят по ip но хочется готовых решений и чужого опыта
то есть в рамках фаст фикса накручена логика блокировки таких ребят по ip но хочется готовых решений и чужого опыта
Ну, вроде как подобная штука не сильно отличается от просто защиты от ботов. Рейтлимиты и вот это все.
IK
ну тут просто рейтлимитеры сложные делаются
IK
+ как бы то что щас - в джаве на фильтрах напилено. нераспределенные лимитеры с правилами по ip.
а дальше нужно выносить на гейтвей, а там уже вопросы начинаются, хватит ли возможности кастомизировать. у нас envoy, у него есть интеграции с внешним лимитингом
но это время тратить:) хочется понять у кого был опыт и послушать
а дальше нужно выносить на гейтвей, а там уже вопросы начинаются, хватит ли возможности кастомизировать. у нас envoy, у него есть интеграции с внешним лимитингом
но это время тратить:) хочется понять у кого был опыт и послушать
O
Но вообще, архитектура у вас по описанию как то весьма любопытно выглядит. В отрицательном смысле. Я так понимаю, у вас есть API, в которых ходит что то полезное причем без авторизации, и кроме этого полезного к вам повадились ходить боты и дергать ручки.
IK
так смс для авторизации и есть:) у нас можно по номеру сразу
+ флоу покупки такой же
+ флоу покупки такой же
IK
ну в целом в телеграме том же та же история ведь. ввел телефон - получил смс - вошел
СА
тут как раз “нафига нужны эти мудрёные SOLID и DDD, если потом они все равно не работают”
Если бы написали по правилам, проблемы бы не было.
O
Могу только сказать из своего опыта, что ботов победить до конца невозможно. Слишком легко маскироваться под полезный трафик в случае простого открытого api. Разумным выглядит только способ как-то подписывать запрос или давать таймаут на запросы смс с одного адреса в 30 секунд или около того.
O
Опять же рейт-лимит. Гулять по адресам хоть и достаточно просто, но ограничивает базу, да и самых назойливых опять же можно автобанить.
O
Ага, понятно, у вас типа магазина или около того, ок)
O
Ну или немного поменять флоу, чтобы номер спрашивался в процессе оформления заказа и с привязкой к id корзины (если это магазин). И ограничение привязывать уже к корзине.
O
А набивать ее уже сложнее, чем просто курлом ходить:)
A
Я бы проанализировал связку IP aдресов и телефонных номеров. ботнеты вещь дорогая, а вот прокси листы скорее всего по геолокации будут откуда-то не оттуда, да и бесплатные прокси листы найти не проблема чтобы их в бан лист. У меня была похожая проблема, решили выносом внутрь личного кабинета после авторизации.
IK
ну у нас не корзина, у нас 1 веб форма покупки:) оч просто подстроить бота будет
A
ну пусть переход на форму для отправки смс приходит, например, мылом. 🙂 Это если изи-изи править.
IK
не, воронку резать нельзя)
O
Чуваки просто хотят в конверсию, но не хотят тратить деньги на СМС)