Osa 1: Miksi botit kohdistuvat kokeilusovelluksiin
Virtuaaliset kokeilusovellukset ovat houkuttelevia kohteita boteille, koska ne tarjoavat ilmaista AI-kuvien luontia. Kokeilun päätepiste ottaa vastaan valokuvan ja tuotekuvan ja palauttaa tekoälyllä koostetun tuloksen — botin näkökulmasta tämä on ilmainen, julkisesti saatavilla oleva AI-kuvantuotto-API. Automatisoidut skriptit voivat kutsua päätepistettä tuhansia kertoja tunnissa luodakseen tuotekuvia, kasvokuvia tai synteettistä harjoitusdataa nollakustannuksilla hyökkääjälle, mutta täydellä kuukausikiintiön hinnalla sinulle kauppiaana.
Taloudellinen kannustin on merkittävä: laadukas AI-kuvantuotto-API maksaa tyypillisesti 0,05–0,20 dollaria per kuva. Kokeilusovellus ilman bottisuojausta tarjoaa tätä palvelua käytännössä ilmaiseksi kenelle tahansa, joka selvittää pyynnön rakenteen. Mittakaavassa yksittäinen bottikampanja voi kuluttaa kauppiaan koko kuukausittaisen kiintiön muutamassa tunnissa, jolloin oikeat asiakkaat kärsivät huonontuneesta palvelusta loppulaskutuskauden ajan.
Osa 2: Photta:n viisikerroksinen suojauspino
Photta hyödyntää viittä toisistaan riippumatonta suojausta, joista jokainen torjuu eri hyökkäysvektorin. Kerros 1 — hCaptcha: jokaisen pyynnön on sisällettävä selainpohjaisesti luotu voimassa oleva hCaptcha-tunniste. Päättömät botit (headless bots) ja automatisoidut HTTP-asiakkaat eivät pysty ratkaisemaan hCaptcha-haastetta ilman ihmisen vuorovaikutusta, mikä estää yksinkertaiset skriptihyökkäykset. Kerros 2 — BotD-sormenjälkitunnistus: SDK ajaa FingerprintJS:n BotScoren havaitakseen päättömät selaimet, automaatiokehykset (Puppeteer, Playwright) ja epäilyttävät selainympäristöt jo ennen kuin käyttäjä lähettää kuvan.
Kerros 3 — Verkkotunnusten sallitut luettelot: pk_live_-avaimesi hyväksyy pyyntöjä vain niistä verkkotunnuksista, jotka olet rekisteröinyt kohdassa Asetukset → Sallitut verkkotunnukset. Pyynnöt mistä tahansa muusta lähteestä palauttavat välittömästi HTTP 403 -virheen ennen tekoälykäsittelyä. Kerros 4 — IP-nopeusrajoitus: yli 10 kokeilupyyntöä minuutissa yhdestä IP-osoitteesta aktivoi automaattisen rajoituksen; yli 30 pyyntöä minuutissa aiheuttaa tilapäisen eston. Kerros 5 — Kuukausittainen katto: sopimuksesi kuukausittainen kokeiluraja (500/2 000/10 000 tasosta riippuen) on tiukka palvelinpuolen raja. Kiintiön täyttyminen pysäyttää kaikki kokeilut laskutuskauden loppuun asti, mikä estää hallitsemattomat kustannukset.
Osa 3: Seuraa bottien yrityksiä hallintapaneelissasi
Kirjaudu sisään business.photta.app-palveluun ja siirry kohtaan Tietoturva. Tietoturva-paneeli näyttää kolme reaaliaikaista kaaviota: Estetyt yritykset (yhteensä per tunti), Estosyiden erittely (hCaptcha-virheet vs. BotD-havainnot vs. verkkotunnusvirheet vs. nopeusrajoitukset) ja eniten estetyt IP:t (IP-osoitteet, joista on tullut eniten estettyjä pyyntöjä viimeisen 24 tunnin aikana). Terveessä kaupassa estettyjen yritysten määrä on yleensä lähellä nollaa normaaleina aikoina.
Tietoturva-paneeli sisältää myös Poikkeavuushälytykset-osion. Photta:n analytiikkakerros tarkkailee äkillisiä piikkejä kokeiluissa tai estetyissä yrityksissä, jotka poikkeavat yli kolme standardipoikkeamaa 7 päivän perustasostasi. Kun poikkeama havaitaan, saat sähköposti-ilmoituksen 15 minuutin kuluessa ja hälytys ilmestyy hallintapaneeliin. Voit määrittää ilmoitusrajat kohdassa Asetukset → Ilmoitukset → Tietoturvahälytykset.
Osa 4: Reagoi epäilyttävään toimintaan
Kun huomaat epätavallisia malleja Tietoturva-paneelissa — piikki estetyissä pyynnöissä, yrityskeskittymä yhdestä IP-alueesta tai kuukausikiintiön äkillinen hupeneminen — toimi seuraavassa järjestyksessä. Tarkista ensin eniten estettyjen IP-osoitteiden luettelo. Jos yksi tai muutama IP-osoite vastaa suurimmasta osasta yrityksiä, napsauta 'Estä IP' kunkin kohdalla kieltääksesi ne pysyvästi Photta-tasolla. Estot tulevat voimaan välittömästi ja pysyvät voimassa, kunnes poistat ne manuaalisesti.
Toiseksi, jos hyökkäys käyttää useita IP-osoitteita (hajautettu bottiverkko), ota yhteyttä Photta-tukeen hallintapaneelin chatin kautta ja ilmoita kauppiastunnuksesi sekä hyökkäyksen aikaväli. Photta:n tietoturvatiimi voi asettaa CIDR-tason eston hyökkäävälle aliverkolle muutaman tunnin kuluessa. Kolmanneksi, jos bottitoiminta on kuluttanut merkittävästi kuukausikiintiötäsi, avaa tukipyyntö — Photta tarjoaa kertaluonteisen kiintiön palautuksen dokumentoiduissa bottihyökkäyksissä. Liitä todisteeksi kuvakaappaus hallintapaneelin poikkeavuushälytyksestä.
Osa 5: Milloin lisätä mukautettu CAPTCHA
Photta:n sisäänrakennettu hCaptcha toimii näkymättömästi — useimmat oikeat asiakkaat eivät koskaan näe CAPTCHA-haastetta. Hyvin harvinaisissa tapauksissa (korkean profiilin kaupat, julkisesti indeksoidut päätepisteet), sisäänrakennetut suojaukset eivät välttämättä riitä, jos kokenut hyökkääjä käyttää ihmisten ylläpitämiä CAPTCHA-ratkaisupalveluita. Tässä tapauksessa voit lisätä toisen CAPTCHA-kerroksen tuotesivullesi ennen photta.open()-kutsua. Vahvista mukautettu CAPTCHA palvelimellasi ja välitä allekirjoitettu vahvistustunniste Photta SDK:lle muodossa photta.open({ verificationToken: 'oma_tunniste' }) varmistaaksesi, että vain vahvistetut istunnot voivat aloittaa kokeilun.
Mukautettu CAPTCHA on viimesijainen keino kaupoille, jotka ovat kohdanneet toistuvia kehittyneitä hyökkäyksiä. Valtaosalle kauppiaista Photta:n viisikerroksinen pino tarjoaa riittävän suojan ilman asiakkaalle näkyvää kitkaa. Jos harkitset mukautetun kerroksen lisäämistä, tarkista ensin Tietoturva-paneelin estosyiden erittely — jos hCaptcha-virheet vastaavat alle 1 %:a estetyistä yrityksistä, pino toimii ja lisäkerros toisi vain kitkaa ilman merkittävää turvahyötyä.