メインコンテンツまでスキップ

不正対策

システム画面の 不正対策 タブ。公開向けエンドポイント、ログインおよび拡張機能のパスに対する保護上限。すべての制限は 0 を受け付けており、その場合は該当するリミッターが無効になります。

設定は3つのブロックに分かれています。

公開エンドポイントの保護

公開エンドポイントの保護 — ポストバックのコンバージョン冪等性と、公開書き込みエンドポイント(postback および /pwa-api/*)でのIPごとのリクエスト上限。冪等性ウィンドウ内で同一のポストバックが繰り返された場合、複数回ではなく1件のデポジットのみが書き込まれます — リプレイおよびトラッカー再試行による二重カウントを防ぎます。一方、正当な再入金(金額が異なる、またはウィンドウ外)は引き続き通過します。再起動なしで実行時に適用されます。

レート制限は余裕を持って設定してください

IPごとのリクエスト上限はDoS対策であり、細かいクォータ管理ではありません — パートナーのIPプールやキャリアグレードNATにより、多くの正規ユーザーが同一アドレスを共有する場合があります。実際のトラフィックが上限に達しないよう、十分な余裕を持たせてください。

ログインと拡張機能のブルートフォース対策

ログインと拡張機能のブルートフォース対策 — ログインおよび拡張機能のcredsエンドポイントに対するブルートフォースしきい値:

  • IPごと毎分のログイン試行回数;
  • アカウントごと15分間の失敗ログイン回数;
  • IPごと毎分の拡張機能プロファイル探索回数;
  • 拡張機能の「alive」マークに対するスロットル。

再起動なしで実行時に適用されます。

サーバータイムアウト

サーバータイムアウト — 両方のHTTPサーバー(管理パネルおよび公開PWA)の接続タイムアウト:リクエストヘッダー読み取りタイムアウト(スローロリス攻撃による接続保持を緩和します)およびアイドルkeep-aliveタイムアウト。これらは起動時に読み込まれるため、変更は再起動後に反映されます。

各フィールドには推奨値のヒントが表示されます。編集後、保存 をクリックしてください。

3つの保護ブロックが表示された不正対策タブ

次のステップ