SMS - Como evitar a falência?
https://stackoverflow.com/questions/1314078
-
19-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu estou codificação um novo site que será necessário que os usuários insiram seu número de telemóvel, o problema que estou enfrentando é que eu preciso ter certeza de que o usuário está no fato do proprietário do (ou, neste caso, tem acesso a) o número de telemóvel.
A solução que eu vim acima com é, mediante a apresentação número que eu enviar-lhes um SMS com um token e pedir que o usuário digite o token no meu site, bem como Google Calendar faz. No entanto, eu estou em um orçamento curto e eu preciso ter certeza de usuário A não se submete 100.000 números de telefone móvel, se isso acontecer eu vou estar fora do negócio em nenhum momento, uma vez que cada SMS enviado custos me cerca de 0,10 USD.
Até agora, eu vim acima com as seguintes soluções:
- usar um CAPTCHA (mantém alguns usuários de distância e ele ainda é vulnerável aos registos manuais)
- limitar o número de tokens de um determinado pedido de endereço IP (IPs dinâmicos, proxies, etc)
- limitar o número de tokens enviados para um determinado número de telemóvel (um usuário pode solicitar fichas para todos os números disponíveis e quando o usuário tenta real para solicitar um token legítima, o seu número será já bloqueado )
Nenhuma destas soluções são perfeitos, como você sugere que eu abordar este problema?
Solução
Em um projeto recente, fomos associando números de SMS com uma conta de usuário. Cada conta precisava de um CAPTCHA e-mail de ativação. O usuário pode ativar SMS via razão, como você está usando.
Você poderia classificar endereços IP limite (não um limite total). Não mais do que 10 pedidos de um IP dentro de 5 minutos, ou algo parecido.
E / ou você pode limitar os pedidos de SMS em circulação. Depois de um endereço IP solicita um token de SMS, deve ser apresentado antes que o IP pode pedir para outro número de SMS. Ou não mais de 10 excelente SMS fichas por IP por dia.
Além disso, como @Alan disse, vamos colocar uma tampa sobre nossas mensagens SMS por mês.
Outras dicas
Gostaria de usar uma combinação de CATPCHA e limitar os pedidos de um número de celular Given.
Além disso, você deve ser capaz de especificar com o seu um limite pré-estabelecido por mês SMS agregador. Depois de atingir esse limite, o serviço é desligamento. Dessa forma, se você é uma vítima de um ataque, você só será responsável por uma quantidade limitada de dinheiro.
Em vez de SMS, você pode fazer uso de um serviço automatizado que chama um número de telefone fala uma senha de uso único (via Text 2 speech). Estes serviços são semelhantes nos preços de SMS, e menos propensos a receber spam abusado, como há mais sobrecarga.
Twilio custar US $ 0,03 por minuto, ou neste caso, $ 0,03 a chamada.
Você poderia fazer o que o Twitter faz, que é ter o usuário de texto que o token (ao invés de você mensagens de texto a eles).
Isso exigirá que você encontrar um fornecedor que lhe permite receber textos de graça (ou quase isso), mas que poderia ser mais fácil.
Por que o SMS lhe custar um centavo? Utilize o endereço de email que está associado a cada sistema SMS (pelo menos aqui na U.S).
http: //www.sms411 .net / 2006/07 / how-to-send-email-to-phone.html
Se alguém tenta o seu melhor para abusar de um sistema, eles vão mais do que provável encontrar uma maneira de fazê-lo. Usando uma combinação das técnicas que você já venha com é provavelmente a melhor maneira de impedir a maioria dos usuários mal-intencionados.
limitar o que as pessoas podem fazer (não mais de 10 pedidos de 1 ip em 10 minutos, um número de telefone só pode receber 3 textos por semana, captcha antes da entrada número), mas o mais importante, se as pessoas não têm controle sobre o conteúdo, da mensagem não há nenhuma razão real para explorá-lo.
