From f9038da74fa626acced1ae9a6bd63ac43d5236a4 Mon Sep 17 00:00:00 2001 From: Leonid Fedorov Date: Sun, 26 Jun 2022 12:05:36 +0300 Subject: [PATCH] fix typo --- src/ru/drafts/04-Раздел III. API как продукт/09. Антифрод.md | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/src/ru/drafts/04-Раздел III. API как продукт/09. Антифрод.md b/src/ru/drafts/04-Раздел III. API как продукт/09. Антифрод.md index 59f8aa7..c79242d 100644 --- a/src/ru/drafts/04-Раздел III. API как продукт/09. Антифрод.md +++ b/src/ru/drafts/04-Раздел III. API как продукт/09. Антифрод.md @@ -24,7 +24,7 @@ * вводить иные разумные ограничения (например, для ключа нашего кофейного API можно установить ограничения по странам и городам, в которых работает партнёр). 3. Вводить дополнительное подписывание запроса: - * например, если на странице вебсайте партнера осуществляется поиск лучших предложений лунго, для чего клиент обращается к URL вида `/v1/search?recipe=lungo&api_key={apiKey}`. В этом случае API-ключ может быть заменён на сгенерированную сервером подпись вида `sign = HMAC("recipe=lungo", apiKey)`. Такая подпись может быть украдена, но будет бесполезна для злоумышленника, так как позволяет найти только лунго; + * например, если на странице вебсайта партнера осуществляется поиск лучших предложений лунго, для чего клиент обращается к URL вида `/v1/search?recipe=lungo&api_key={apiKey}`. В этом случае API-ключ может быть заменён на сгенерированную сервером подпись вида `sign = HMAC("recipe=lungo", apiKey)`. Такая подпись может быть украдена, но будет бесполезна для злоумышленника, так как позволяет найти только лунго; * вместо API-ключа можно использовать одноразовые пароли (Time-Based One-Time Password, TOTP); такие токены действительны, как правило, в течение минуты, что чрезвычайно затрудняет злоумышленнику работу с украденными ключами. По сути, описанные выше методы — вариации существующих алгоритмов защиты авторских прав (DRM, Digital Rights Management), поскольку конечная цель защиты та же: не допустить несанкционированного использования данных, доступных клиенту. И, как и в случае DRM, недостаток этого подхода — это необходимость законопослушным пользователям тратить время и ресурсы на работу с такой защитой. Любые технологии подобного рода — это всегда некоторые эвристические способы увеличить стоимость атаки настолько, чтобы она стала невыгодной. @@ -35,4 +35,4 @@ С нашей точки зрения лучшей политикой борьбы с фродом является пассивный мониторинг нарушений (с последующим принятием административных мер) плюс возможность партнерам по их желанию установить дополнительные технические ограничения. -**NB**. Описанные выше разнообразные методы борьбы с нарушителями подразумевают, что вы предусмотрели процедуры отзыва ключа — как технические (обеспечение минимальной сложности процедуры смены ключа), так и организационные (уведомление партера о компрометации ключа) — иначе вы попросту ничего не сможете сделать с выявленными фактами фрода. \ No newline at end of file +**NB**. Описанные выше разнообразные методы борьбы с нарушителями подразумевают, что вы предусмотрели процедуры отзыва ключа — как технические (обеспечение минимальной сложности процедуры смены ключа), так и организационные (уведомление партера о компрометации ключа) — иначе вы попросту ничего не сможете сделать с выявленными фактами фрода.