Funzionalita di Sicurezza Avanzate

Disponibile in:

Post Affiliate Pro , Post Affiliate Pro Ultimate , Post Affiliate Network

Post Affiliate Pro fornisce funzionalita di sicurezza di livello enterprise progettate per proteggere il tuo programma di affiliazione da accessi non autorizzati, abusi e frodi. Questa guida copre i meccanismi di sicurezza avanzati integrati nella piattaforma.

Metodi di Autenticazione API

L’API v3 di Post Affiliate Pro usa standard di autenticazione moderni per garantire accesso sicuro ai dati e alle operazioni del tuo programma di affiliazione.

Autenticazione con Chiave API

Le chiavi API forniscono un metodo sicuro per la comunicazione server-to-server. Ogni chiave API in Post Affiliate Pro include:

• ID Token e Hash: Le chiavi API usano un formato token sicuro con un identificatore unico e un segreto crittograficamente hashato. Il token in chiaro non viene mai memorizzato nel database.
• Data di Scadenza: Puoi impostare una data di scadenza per le chiavi API per assicurare la rotazione regolare.
• Accesso Basato su Ruoli: Ogni chiave eredita i permessi dal ruolo utente associato.
• Restrizioni Scope: Definisci scope specifici per limitare quali operazioni la chiave API puo eseguire.
• Whitelisting IP: Limita l’uso della chiave API a indirizzi IP specifici o range CIDR.
• Tracciamento Utilizzo: Il sistema traccia quando ogni chiave e stata usata per l’ultima volta e quante volte e stata acceduta.

Per autenticarti con una chiave API, includila come token Bearer nell’header Authorization:

Authorization: Bearer pap_XXXXXXXXXX_YYYYYYYYYYYYYYYYYYYYYYYYYYYY

Autenticazione OAuth 2.0

Per integrazioni di terze parti e accesso temporaneo, Post Affiliate Pro supporta token bearer OAuth 2.0 con validazione scope. L’autenticatore OAuth:

• Valida i token bearer rispetto al database delle chiavi API
• Verifica che il token abbia tutti gli scope richiesti per l’operazione richiesta
• Restituisce messaggi di errore chiari per permessi insufficienti (HTTP 403)
• Si integra perfettamente con il sistema di rate limiting

I permessi basati su scope permettono controllo granulare su cosa ogni token puo accedere, assicurando che le integrazioni di terze parti abbiano accesso solo ai dati di cui hanno bisogno.

Rate Limiting

Post Affiliate Pro implementa rate limiting intelligente per proteggere il tuo programma di affiliazione da abusi, tentativi di denial-of-service e script di automazione fuori controllo.

Limiti Rate API Globali

L’API v3 applica i seguenti limiti di rate:

• 100 richieste al minuto per tutti gli endpoint API
• 10 tentativi di autenticazione falliti al minuto per indirizzo IP per l’autenticazione con token bearer

Quando superi il limite di rate, l’API restituisce:

• Codice stato HTTP 429 (Too Many Requests)
• Header Retry-After che indica quando puoi riprovare
• Header X-RateLimit-Limit che mostra le richieste massime consentite
• Header X-RateLimit-Remaining che mostra le richieste rimanenti nella finestra corrente
• Header X-RateLimit-Reset che mostra quando il limite di rate si resetta

Algoritmo Token Bucket

Il rate limiting usa un algoritmo token bucket che fornisce:

• Finestre temporali configurabili (secondo, minuto, ora, giorno, settimana, mese)
• Riempimento graduale delle richieste disponibili nel tempo
• Protezione contro sia abusi sostenuti che attacchi burst
• Bucket separati per tipi diversi di operazioni (autenticazione, reset password, registrazioni, ecc.)

Rate Limiting Autenticazione

I tentativi di autenticazione falliti vengono tracciati separatamente per prevenire attacchi brute-force:

• Le autenticazioni bearer token fallite consumano token da un bucket specifico per IP
• Dopo 10 tentativi falliti in un minuto, ulteriori tentativi di autenticazione vengono bloccati
• L’autenticazione riuscita resetta il contatore fallimenti per quell’IP
• Lo stato del rate limit viene loggato per il monitoraggio della sicurezza

Sicurezza Sessioni

Post Affiliate Pro implementa una gestione sessioni robusta per proteggere gli account utente.

Funzionalita Gestione Sessioni

• ID Sessione Sicuri: Le sessioni usano identificatori crittograficamente sicuri di 32 caratteri
• Validazione Sessione: Ogni richiesta valida lo stato della sessione e il modulo associato
• Scadenza Sessione: Le sessioni scadute vengono automaticamente rilevate e gestite
• Storage Sessione: Le sessioni possono essere memorizzate in database o Redis per ambienti ad alte prestazioni
• Controllo Multi-Sessione: Gli utenti possono avere le loro altre sessioni terminate quando avvengono modifiche security-sensitive

Terminazione Sessione su Eventi di Sicurezza

Quando avvengono eventi critici di sicurezza, Post Affiliate Pro termina automaticamente le sessioni correlate:

• L’abilitazione dell’autenticazione a due fattori invalida tutte le altre sessioni attive
• I cambi password possono attivare l’invalidazione della sessione
• L’eliminazione della chiave API termina le sessioni associate
• I cambiamenti di stato account attivano la pulizia delle sessioni

Protezione Login

Post Affiliate Pro fornisce protezione login completa con impostazioni configurabili sia per i pannelli merchant che affiliato.

Restrizioni Basate su IP

Indirizzi IP Bannati: Blocca i tentativi di login da indirizzi IP o range specifici. Il sistema:

• Valida gli indirizzi IP rispetto alla lista bannati prima di elaborare il login
• Ti impedisce di bannare accidentalmente il tuo indirizzo IP corrente
• Supporta liste bannati separate per i pannelli merchant e affiliato

Indirizzi IP Consentiti: Limita l’accesso login a una whitelist di indirizzi IP approvati:

• Solo gli utenti che si connettono da IP in whitelist possono effettuare il login
• Supporta sia indirizzi IP individuali che range IP
• Ti protegge dal bloccarti fuori validando che il tuo IP corrente sia nella lista prima di salvare

Rate Limiting per Login

I tentativi di login sono soggetti a rate limit per prevenire attacchi brute-force:

• Rate Limiting per IP: Limita il numero di tentativi di login da un singolo indirizzo IP per ora
• Rate Limiting per Username: Limita i tentativi contro un username specifico per prevenire attacchi mirati
• Limiti configurabili sia per i pannelli merchant che affiliato
• I tentativi falliti vengono tracciati usando il sistema token bucket

Servizio Login Key

Per single sign-on sicuro e funzionalita “Login Come”, Post Affiliate Pro usa chiavi di login temporanee:

• Le chiavi di login sono valide solo per 30 secondi
• Ogni chiave puo essere usata solo una volta (consumata all’uso)
• Le chiavi vengono generate crittograficamente usando funzioni random sicure
• I controlli di permesso assicurano che solo utenti autorizzati possano generare chiavi di login per altri account

Protezione Frodi Vendite

Post Affiliate Pro include un plugin dedicato Sale Tracking Fraud Protection che usa checksum MD5 per verificare l’autenticita delle transazioni.

Come Funziona

1. Quando una vendita viene tracciata, il sistema calcola un checksum MD5 usando costo totale, ID ordine e una chiave segreta
2. Questo checksum deve essere incluso con la richiesta di tracciamento vendita
3. Il sistema ricalcola il checksum e lo confronta con il valore inviato
4. Se i checksum non corrispondono, la transazione viene rifiutata

Opzioni di Configurazione

• Chiave Segreta Globale: Imposta una chiave segreta predefinita per tutte le campagne
• Chiavi Specifiche per Campagna: Sovrascrivi la chiave globale con chiavi uniche per campagna per sicurezza aggiuntiva
• Parametro Checksum: Scegli quale campo dati porta il checksum (data1 fino a data5)

Questa protezione assicura che solo vendite legittime dal tuo sito web vengano tracciate, prevenendo invii di transazioni fraudolente da fonti esterne.

Protezione Frodi Clic

Post Affiliate Pro monitora tutti i clic e puo automaticamente rifiutare o scartare quelli fraudolenti.

Metodi di Rilevamento

Rilevamento Clic Duplicati: Identifica clic dallo stesso indirizzo IP entro un periodo di tempo configurabile:

• Imposta la finestra temporale in secondi
• Opzionalmente richiedi lo stesso user agent per il rilevamento duplicati
• Opzionalmente richiedi lo stesso banner o campagna per rilevamento piu rigoroso
• Scegli di rifiutare (marcare come fraudolento) o non salvare il clic

Protezione IP Bannati: Blocca clic da attori malevoli noti:

• Definisci indirizzi IP e range bannati
• I clic da IP bannati vengono automaticamente rifiutati o scartati
• Impostazioni separate disponibili per account

Protezione Referrer Bannati: Blocca clic da URL referrer sospetti:

• Definisci pattern per URL referrer bannati
• Previene frodi clic da certi siti web o fonti di traffico

Liste IP/Referrer Consentiti: Crea whitelist per traffico legittimo:

• Accetta solo clic da range IP approvati
• Accetta solo clic da URL referrer approvati
• Opzione per consentire referrer vuoti
• Opzione per consentire domini destinazione banner

Azioni Protezione Frodi

Per ogni tipo di rilevamento, puoi scegliere:

• Rifiuta: Salva il clic ma marcalo come rifiutato (visibile nei report)
• Non Salvare: Scarta completamente il clic (non salvato nel database)

Protezione Frodi Action/Vendite

Protezioni simili esistono per il tracciamento vendite e lead.

Rilevamento Duplicati

Ordini Duplicati dallo Stesso IP: Rileva vendite multiple dallo stesso indirizzo IP:

• Finestra temporale configurabile in secondi
• Abbinamento opzionale per user agent, campagna, ID prodotto, ID ordine o tipo commissione
• Previene invii rapidi di vendite fraudolente

ID Ordine Duplicati: Rileva vendite con lo stesso ID ordine:

• Finestra temporale configurabile in ore
• Abbinamento opzionale per campagna o ID prodotto
• Previene pagamenti commissioni duplicate da refresh pagina o attacchi replay

Blocco Ordine

Quando elabora una vendita, il sistema blocca temporaneamente l’ID ordine:

• Previene race condition quando lo stesso ordine viene inviato piu volte simultaneamente
• Il blocco scade dopo 60 secondi
• Gli ordini duplicati bloccati ricevono messaggi di errore chiari

Protezione IP e Referrer

Le vendite ereditano le stesse protezioni IP e referrer bannati/consentiti dei clic:

• Blocca vendite da indirizzi IP bannati
• Blocca vendite da URL referrer bannati
• Consenti vendite solo da IP o referrer in whitelist
• Messaggi di rifiuto personalizzati per ogni tipo di protezione

Autenticazione a Due Fattori

Post Affiliate Pro supporta l’autenticazione a due fattori TOTP (Time-based One-Time Password) per maggiore sicurezza degli account.

Implementazione

• Usa l’algoritmo TOTP standard compatibile con Google Authenticator e app simili
• Genera una chiave segreta unica per utente memorizzata in modo sicuro negli attributi utente
• Fornisce codici QR per facile configurazione dell’app mobile
• Valida i codici con una finestra di 90 secondi (3 periodi di 30 secondi ciascuno)

Funzionalita di Sicurezza

• Rate Limited: La validazione del codice a due fattori e limitata a 5 tentativi al minuto
• Invalidazione Sessione: L’abilitazione del 2FA invalida tutte le altre sessioni attive per quell’utente
• Invalidazione Richieste Password: Le richieste di reset password in sospeso vengono invalidate quando il 2FA viene abilitato
• Logging Audit: L’attivazione del 2FA viene loggata nella traccia di audit

Disponibilita

L’autenticazione a due fattori e disponibile sia per:

• Utenti del pannello merchant
• Utenti del pannello affiliato

Ogni utente puo abilitare il 2FA indipendentemente attraverso le impostazioni del proprio profilo.

Best Practice di Sicurezza

Per massimizzare la sicurezza della tua installazione Post Affiliate Pro:

Sicurezza API

1. Ruota le chiavi API regolarmente: Imposta date di scadenza e sostituisci le chiavi periodicamente
2. Usa scope minimi: Concedi solo i permessi di cui ogni integrazione ha effettivamente bisogno
3. Implementa il whitelisting IP: Limita l’accesso API a IP server noti
4. Monitora l’utilizzo: Rivedi i conteggi di utilizzo delle chiavi API e i timestamp dell’ultimo utilizzo
5. Usa OAuth per terze parti: Preferisci token OAuth a breve durata per integrazioni esterne

Sicurezza Account

1. Abilita l’autenticazione a due fattori: Richiedi il 2FA per tutti gli account merchant
2. Usa password forti: Combina con il 2FA per massima protezione
3. Configura i limiti rate di login: Imposta limiti appropriati per prevenire attacchi brute-force
4. Implementa restrizioni IP: Usa liste IP consentiti per account sensibili
5. Rivedi i log di audit: Controlla regolarmente il log di audit per attivita sospette

Prevenzione Frodi

1. Abilita la protezione frodi vendite: Usa la verifica checksum MD5 per tutte le campagne
2. Configura il rilevamento duplicati: Imposta finestre temporali appropriate per il tuo modello di business
3. Usa il banning IP proattivamente: Blocca range IP fraudolenti noti
4. Monitora le transazioni rifiutate: Rivedi clic e vendite rifiutati per pattern
5. Personalizza i messaggi di frode: Messaggi chiari aiutano gli utenti legittimi a capire i rifiuti

Risorse Knowledge Base

Per istruzioni dettagliate di configurazione, visita la nostra documentazione di supporto:

• Documentazione API v3
• Gestione Chiavi API
• Creazione Token OAuth
• Configurazione Protezione Frodi