Будет ли проверка hCaptcha раздражать моих реальных покупателей?

Нет — Photta по умолчанию использует невидимый режим hCaptcha. Обычные пользователи не видят проверку; пазл показывается только подозрительным сессиям.

Может ли бот обойти белый список доменов, подменив заголовок Origin?

Нет — валидация домена выполняется на сервере путем сопоставления подписанного токена pk_live_ с вашим списком. Подмена Origin не поможет.

Что будет с покупателями, если месячный лимит будет исчерпан ботами?

Покупатели увидят сообщение «Лимит примерок на этот месяц исчерпан». Немедленно свяжитесь с поддержкой Photta для восстановления квоты.

Влияет ли лимит IP на покупателей с общим IP (например, офисный Wi-Fi)?

Лимит составляет 10 примерок в минуту на один IP. Офис с сотней сотрудников вряд ли достигнет этого порога при обычном просмотре — 10 в минуту это 600 в час, что выше нормального поведения человека.

Регулируется ли фингерпринтинг BotD правилами GDPR?

Использование Photta BotD для сбора сигналов среды браузера в целях предотвращения мошенничества является законным интересом согласно Статье 6(1)(f) GDPR. Персональные данные при проверке BotD не сохраняются.

Руководство · Безопасность

Как Photta останавливает ботов

В этом руководстве объясняется, почему боты атакуют виджеты виртуальной примерки, описываются пять уровней защиты Photta, способы мониторинга подозрительной активности и случаи использования кастомной CAPTCHA.

Попробовать Photta бесплатно Цены

luxe.shop

LUXE BASICS

Vibes Hoodie

$58

Try-on opens here →

Краткое содержание

Боты атакуют виджеты примерки для бесплатной генерации ИИ-изображений за счет продавца — Photta блокирует их с помощью пяти уровней защиты до списания кредитов.
Стек защиты Photta: проверка hCaptcha, фингерпринтинг BotD, белые списки доменов, лимиты IP-запросов и ежемесячные лимиты примерок — все активно по умолчанию.
Отслеживайте панель «Безопасность» в личном кабинете на предмет заблокированных попыток и аномальных всплесков, а затем принимайте меры в один клик.

Раздел 1: Почему боты атакуют виджеты примерки

Виджеты виртуальной примерки являются привлекательной целью для ботов, так как они обеспечивают бесплатную генерацию ИИ-изображений. Эндпоинт примерки принимает фотографию и изображение товара, возвращая результат композиции ИИ — с точки зрения бота это бесплатный публичный API генерации. Автоматизированные скрипты могут обращаться к эндпоинту тысячи раз в час для создания изображений товаров или синтетических данных для обучения нейросетей с нулевыми затратами для злоумышленника и полной тратой вашего лимита.

Экономический стимул значителен: качественный API генерации ИИ-изображений обычно стоит $0.05–0.20 за картинку. Эндпоинт без защиты фактически предлагает этот сервис бесплатно любому, кто разберет формат запроса. В масштабе одна кампания ботов может исчерпать месячную квоту продавца за считанные часы, оставив реальных покупателей без сервиса до конца расчетного периода.

Раздел 2: Пятиуровневый стек защиты Photta

Photta развертывает пять независимых защит. Уровень 1 — hCaptcha: каждый запрос должен содержать валидный токен hCaptcha, созданный в браузере. Headless-боты и HTTP-клиенты не могут решить hCaptcha без участия человека. Уровень 2 — фингерпринтинг BotD: SDK запускает BotScore от FingerprintJS для обнаружения браузеров без интерфейса, фреймворков автоматизации (Puppeteer, Playwright) и подозрительных сред еще до отправки фото.

Уровень 3 — Белый список доменов: ваш ключ pk_live_ принимает запросы только с доменов, указанных в Настройках. Запросы с любых других источников немедленно получают ошибку HTTP 403. Уровень 4 — Лимиты IP-запросов: более 10 запросов в минуту с одного IP включают ограничение скорости, более 30 — временную блокировку. Уровень 5 — Месячный лимит: ограничение вашего тарифа (500/2 000/10 000) жестко контролируется на стороне сервера. Исчерпание лимита останавливает все примерки, предотвращая неконтролируемые расходы.

Раздел 3: Мониторинг попыток ботов в панели управления

Войдите в business.photta.app и перейдите в раздел «Безопасность». Там отображаются три графика в реальном времени: «Заблокированные попытки», «Причины блокировки» (ошибки hCaptcha, детекция BotD, несоответствие домена или превышение лимитов) и «Топ заблокированных IP». У здорового магазина количество блокировок в обычное время близко к нулю.

Панель также включает раздел «Оповещения об аномалиях». Аналитический уровень Photta отслеживает резкие скачки объема примерок, отклоняющиеся более чем на три стандартных отклонения от вашего среднего показателя за 7 дней. При обнаружении аномалии вы получите письмо в течение 15 минут. Пороги уведомлений настраиваются в разделе Настройки → Уведомления → Оповещения о безопасности.

Раздел 4: Реагирование на подозрительную активность

Если вы видите подозрительные паттерны — всплеск блокировок или резкое падение квоты — выполните следующие действия. Сначала проверьте список «Топ заблокированных IP». Если на несколько адресов приходится большинство атак, нажмите «Заблокировать IP» рядом с каждым из них для перманентного бана на уровне Photta. Блокировка вступает в силу немедленно.

Во-вторых, если атака распределенная (ботнет), свяжитесь с поддержкой Photta через чат, указав ID продавца и время атаки. Команда безопасности Photta может применить блокировку на уровне подсети CIDR в течение нескольких часов. В-третьих, если ваша квота была истощена ботами, откройте тикет — Photta предлагает разовое восстановление квоты для задокументированных атак. Приложите скриншот оповещения об аномалии в качестве доказательства.

Раздел 5: Когда стоит добавить кастомную CAPTCHA

Встроенная hCaptcha в Photta работает незаметно — реальные покупатели почти никогда не видят проверку. В редких случаях (очень популярные магазины), если злоумышленник использует фермы для решения CAPTCHA, может потребоваться второй уровень на вашей стороне перед вызовом photta.open(). Проверьте вашу CAPTCHA на своем сервере и передайте токен в SDK Photta через photta.open({ verificationToken: 'ваш_токен' }).

Кастомная CAPTCHA — это крайняя мера. Для подавляющего большинства продавцов пятиуровневый стек Photta обеспечивает достаточную защиту без трения для покупателей. Прежде чем добавлять слой, проверьте причины блокировок: если ошибки hCaptcha составляют менее 1% от всех блокировок, защита работает эффективно, и лишний слой лишь усложнит жизнь пользователям.

Пятиуровневая защита от ботов Photta

🤖

hCaptcha + BotD

Каждая примерка требует токен hCaptcha и проходит фингерпринтинг FingerprintJS BotD. Боты блокируются до начала обработки ИИ.

🔒

Белые списки доменов

Ваш ключ pk_live_ работает только на зарегистрированных доменах. Скопированные ключи бесполезны вне списка.

📊

Дашборд безопасности

Графики заблокированных попыток, топ IP и оповещения об аномалиях в реальном времени.

🛑

Месячный жесткий лимит

Лимит тарифа контролируется сервером. Ни одна атака ботов не превысит его, что исключает непредвиденные расходы.

Часто задаваемые вопросы

: Нет — Photta по умолчанию использует невидимый режим hCaptcha. Обычные пользователи не видят проверку; пазл показывается только подозрительным сессиям.

Защита от ботов включена в каждый тариф

hCaptcha, BotD, белые списки доменов, лимиты запросов и квоты — без доплаты за безопасность.

Посмотреть тарифы

Ваш виджет защищен с первого дня

Пять уровней защиты, ноль препятствий для покупателей. Начните бесплатный период, а Photta позаботится о ботах.

Начать бесплатно