Rails app on Heroku - 防衛的なプログラミングテクニックをお薦めします

Question

私はちょうどいくつかのタッチスクリーンキオスクにサービスを提供するheroku.comにRailsアプリを公開し、偽のサービス予約で悪意のあるユーザーを初めて味わいました。このような悪質な活動の追跡や阻止に役立てるために記録できる監査データに関する提案をお願いします。

いくつかの簡単な背景 - 私は観光業界向けのウェブサイトを設計しており、宿泊施設やボートトリップなどの観光関連のサービスを予約することができます。私たちはタッチスクリーンのキオスクでこのアプリケーションを実行します（40フィートのタッチスクリーンを備えた6.5フィートの高さのユニットと考えています）。

私が探しているのは、有効な予約を認証し、後でこれらの偽の予約を追跡するために使用できる詳細を記録するのに役立つように予約（およびその他の取引）が行われます。これらの情報をブラックリストに追加して、 。

私は既にrequest.remote_ipアドレスを記録していますが、IPアドレスが動的に変更される可能性があるので、remote_ipのホスト名も記録できるのが理想的です。それを各クライアントマシンを一意に識別するクッキー？

私は偽の予約を行うすべての人物を訴追するつもりはないが、そのような悪質な活動を阻​​止し、予防したり、追跡したりしたいと思っています。

ありがとう、 Craig。

Answer 1

質問は少し曖昧だと思います。あなたはあなたが知っているものを見る必要があります：実際には有効でない偽の予約ですか？特定の予約が偽であることをあなたは個人的にどのように把握しましたか？誰かがあなたに教えてくれましたか？自分でデータからそれを把握しましたか？

まず、偽の予約のビットとピースをすべて集める必要があります。パターンがある場合は、それをフィルタとして実装します。私は誰かが予約が偽であることを知っていたなら、あなたのシステムはなぜそれを知らなかったのですか？

IPアドレスとホスト名をロギングするのは無駄です。あなたはこのようにした人は決して捕まえません。クレジットカード番号で確認したり、確認済みのEメールアドレスを確認してみてはいかがですか？前払いのクレジットカード番号をお持ちの場合は、紛争のある人への直接リンクや、カード番号によるさらなる試みのブロックがあります。 IPアドレスは追跡するのが難しいです。

逆引き参照でIPアドレスをホスト名に変換できますが、IPによってホスト名も変更されます。 IPをログに記録する場合は、後で逆引きをいつでも行うことができますが、実際にはホスト名（？）を知る価値はありません。