Antiabuso
A aba Antiabuso da tela Sistema. Limites de proteção nos endpoints públicos e nos caminhos de login e extensão. Cada limite aceita 0, o que desativa aquele limitador específico.
As configurações estão agrupadas em três blocos.
Proteção de endpoints públicos
Proteção de endpoints públicos — idempotência das conversões de postback e um teto de requisições por IP nos endpoints públicos de escrita (postback e /pwa-api/*). Uma repetição de um postback idêntico dentro da janela de idempotência grava um depósito, e não vários — eliminando replays e a contagem dupla das retentativas do tracker, enquanto um redepósito legítimo (valor diferente ou fora da janela) ainda passa. Aplicado em tempo de execução, sem reinício.
O teto de requisições por IP é uma proteção contra negação de serviço, não uma cota granular — pools de IP de parceiros e NAT carrier-grade podem colocar muitos usuários legítimos por trás de um único endereço. Mantenha-o alto o suficiente para que o tráfego real nunca o alcance.
Força bruta no login e na extensão
Proteção contra força bruta de login e extensão — limiares contra força bruta para o login e o endpoint de credenciais da extensão:
- tentativas de login por IP por minuto;
- falhas de login por conta a cada 15 minutos;
- sondagens de perfil da extensão por IP por minuto;
- um controle de frequência nas marcações de "alive" da extensão.
Aplicado em tempo de execução, sem reinício.
Timeouts do servidor
Timeouts do servidor — timeouts de conexão para ambos os servidores HTTP (o painel administrativo e o PWA público): o timeout de leitura dos cabeçalhos da requisição (que mitiga o ataque slow-loris de manutenção de conexão aberta) e o timeout de inatividade keep-alive. Esses valores são lidos na inicialização, portanto uma alteração é aplicada após reiniciar.
Cada campo exibe uma dica com o valor recomendado. Após editar, clique em Salvar.
