Sectie 1: Waarom bots zich richten op try-on widgets
Virtuele try-on widgets zijn een aantrekkelijk doelwit voor bots omdat ze gratis AI-beeldgeneratie bieden. Een try-on endpoint accepteert een foto en een productafbeelding en retourneert een door AI samengesteld resultaat — vanuit het perspectief van een bot is dit een gratis, publiekelijk toegankelijke API voor AI-beeldgeneratie. Geautomatiseerde scripts kunnen het endpoint duizenden keren per uur aanroepen om productafbeeldingen, headshots of synthetische trainingsdata te genereren, zonder kosten voor de aanvaller en met volledige belasting van uw maandelijkse limiet als merchant.
De economische stimulans is aanzienlijk: een kwalitatieve API voor AI-beeldgeneratie kost doorgaans $0,05–$0,20 per afbeelding. Een try-on widget endpoint zonder botbescherming biedt deze service in feite gratis aan iedereen die het verzoekformaat reverse-engineert. Op grote schaal kan een enkele botcampagne het volledige maandelijkse try-on quotum van een merchant in enkele uren uitputten, waardoor echte shoppers de rest van de factureringsperiode met een verslechterde service te maken krijgen.
Sectie 2: Photta's vijf-laagse verdedigingsstack
Photta zet vijf onafhankelijke verdedigingen in, die elk een andere aanvalsvector opvangen. Laag 1 — hCaptcha: elk try-on verzoek moet een geldig hCaptcha-token bevatten dat in de browser is gegenereerd. Headless bots en geautomatiseerde HTTP-clients kunnen hCaptcha niet oplossen zonder menselijke interactie, wat eenvoudige scriptaanvallen blokkeert. Laag 2 — BotD fingerprinting: de SDK voert BotScore uit via FingerprintJS om headless browsers, automatiseringsframeworks (Puppeteer, Playwright) en verdachte browseromgevingen te detecteren voordat de shopper zelfs maar een foto indient.
Laag 3 — Domein allowlisting: uw pk_live_ sleutel accepteert alleen verzoeken van domeinen die u registreert in Instellingen → Toegestane domeinen. Verzoeken van elke andere herkomst retourneren onmiddellijk een HTTP 403, voordat er AI-verwerking plaatsvindt. Laag 4 — IP-rate limiting: meer dan 10 try-on verzoeken per minuut vanaf één IP-adres activeert automatische beperking; meer dan 30 per minuut activeert een tijdelijke blokkering. Laag 5 — Maandelijkse limiet: de maandelijkse try-on limiet van uw plan (500/2.000/10.000 afhankelijk van het niveau) is hard begrensd aan de serverzijde. Het bereiken van de limiet stopt alle try-ons voor de rest van de factureringscyclus, wat scenario's met uit de hand gelopen kosten voorkomt.
Sectie 3: Monitor bot-pogingen in uw dashboard
Log in op business.photta.app en navigeer naar Security. Het Security-paneel toont drie grafieken die in realtime worden bijgewerkt: Geblokkeerde pogingen (totaal per uur), Analyse blokkeringsredenen (hCaptcha-fouten vs. BotD-detecties vs. domeinfouten vs. rate limit triggers) en Top Geblokkeerde IP's (de IP-adressen die de meeste geblokkeerde verzoeken hebben gegenereerd in de afgelopen 24 uur). Een gezonde winkel vertoont doorgaans bijna nul geblokkeerde pogingen tijdens normale bedrijfsuren.
Het Security-paneel bevat ook een sectie voor anomalie-waarschuwingen. De analytische laag van Photta let op plotselinge pieken in try-on volume of geblokkeerde pogingen die meer dan drie standaarddeviaties afwijken van uw 7-daagse basislijn. Wanneer een anomalie wordt gedetecteerd, ontvangt u binnen 15 minuten een e-mailmelding en verschijnt de waarschuwing in het dashboard. U kunt meldingsdrempels configureren onder Instellingen → Meldingen → Beveiligingswaarschuwingen.
Sectie 4: Reageren op verdachte activiteit
Wanneer u ongebruikelijke patronen ziet in het Security-paneel — een piek in geblokkeerde verzoeken, een cluster van pogingen vanuit één IP-reeks of een plotselinge daling van uw maandelijkse quotum — onderneem dan deze acties in volgorde. Controleer eerst de lijst met Top Geblokkeerde IP's. Als een of enkele IP's verantwoordelijk zijn voor de meeste geblokkeerde pogingen, klik dan op 'IP blokkeren' naast elk IP-adres om ze permanent te verbannen op de Photta-laag. Blokkeringen worden onmiddellijk toegepast en blijven van kracht totdat u ze handmatig verwijdert.
Ten tweede, als de aanval meerdere IP's gebruikt (een gedistribueerd botnet), neem dan contact op met Photta support via de dashboard-chat met uw merchant-ID en het tijdsbereik van de aanval. Het beveiligingsteam van Photta kan binnen enkele uren een blokkering op CIDR-niveau toepassen op het aanvallende subnet. Ten derde, als uw maandelijkse quotum aanzienlijk is uitgeput door bot-activiteit, open dan een supportticket — Photta biedt eenmalige quotumrestauratie voor gedocumenteerde botaanvallen. Voeg een screenshot toe van de anomalie-waarschuwing in uw Security-paneel als bewijs.
Sectie 5: Wanneer een aangepaste CAPTCHA toevoegen
De ingebouwde hCaptcha van Photta draait onzichtbaar — de meeste legitieme shoppers zien nooit een CAPTCHA-uitdaging. In zeer zeldzame gevallen (winkels met een hoge waarde, publiekelijk geïndexeerde widget-endpoints) zijn de ingebouwde verdedigingen mogelijk niet voldoende als een geavanceerde aanvaller menselijke CAPTCHA-oplosservices gebruikt. In dit scenario voegt u een tweede CAPTCHA-laag toe op uw eigen productpaginaniveau voordat u photta.open() aanroept. Verifieer uw aangepaste CAPTCHA op uw server en geef vervolgens een ondertekend verificatietoken door aan de Photta SDK als photta.open({ verificationToken: 'uw_token' }) om ervoor te zorgen dat alleen geverifieerde sessies een try-on kunnen starten.
Een aangepaste CAPTCHA is een laatste redmiddel voor winkels die herhaaldelijk te maken hebben gehad met geavanceerde aanvallen. Voor de grote meerderheid van de merchants biedt de vijf-laagse stack van Photta voldoende bescherming zonder zichtbare wrijving voor de shopper. Als u overweegt een aangepaste laag toe te voegen, controleer dan eerst de Analyse blokkeringsredenen in uw Security-paneel — als hCaptcha-fouten minder dan 1% van uw totale geblokkeerde pogingen uitmaken, werkt de stack goed en voegt een extra laag wrijving toe zonder betekenisvolle beveiligingswinst.