Главное Авторские колонки Вакансии Образование
😼
Выбор
редакции
321 0 В избр. Сохранено
Авторизуйтесь
Вход с паролем

Робофид.ру — события последнего месяца: наблюдения, смена тарифов, отражение атак

В этой статье мы расскажем Вам о наших наблюдениях, переосмыслении тарифов и о том, как мы защищались от атак на наш сервер.
Мнение автора может не совпадать с мнением редакции

Немного наблюдений.

Хотелось бы начать прежде всего с того, что мы ошибались. Изначально мы ожидали, что наши клиенты будут выбирать 1-2 торговую площадку, на которую будут выгружаться, и на этом все. Но наблюдения показали, что в среднем владельцы магазинов выгружаются на 3.2 торговые площадки. Помимо прочего мы заметили, что пользователи стараются экспериментировать с выбором площадок — в среднем они сменяют торговую площадку раз в 3 недели. Мы считаем, что за такой интервал нельзя собрать данные о востребованности Вашего товара на той или иной площадке, т.к. есть понятия сезонности, ажиотажа спроса и прочие факторы, которые могут влиять на продажи. Но то, что клиенты стараются по полной использовать возможности нашего сервиса — это замечательно! А это означает, что мы с клиентом понял друг друга и нашли общий язык.

Круг наших клиентов расширяется. На текущий момент мы конвертируем и отдаем экспортные файлы более чем для сотни торговых площадок, выбранных нашими клиентами.

Трудности совсем малого бизнеса.

В последние пару недель мы начали получить большое количество писем от посетителей нашего сервиса. Если кратко описать их суть, то она сводится к тому, что люди хотят пользоваться нашим сервисом, но они только открылись, бюджета лишнего нет, товаров не набирается даже и на тысячу позиций. И они просили ввести еще одни тариф, с ограничением поменьше и стоимостью подешевле. Мы задумались над данной проблемой и пришли к выводу, что мы и правда забыли об аудитории, которая хочет попробовать себя в предпринимательской деятельности, у которой подписаны договора с одним-двумя поставщиками и позиций не так много. Мы начали думать о том, какой тариф ввести, но поняли, что он не нужен.

Evernote, todoist, Bitrix24, Dadata. Что объединяет эти и много другие компании? Ограниченный бесплатный функционал. Да что греха таить — мы сами пользуемся бесплатным облаком Bitrix24, ибо у нас небольшая команда.

b_5d0f87fae6243.jpg

Мы убрали текущий тестовый тариф с ограничением в 50 товаров. Вместо него мы ввели новый тариф «Прилавок» с ограничением в 1 000 товаров, полностью бесплатный и с сохранением полноценного функционала. Все ранее созданные тестовые компании были переведены на этот тариф.

Помимо этого мы так же снизили наши цены на действующие тарифы — скидки на тарифы, которые должны были действовать до сентября 2019 года, исчезли, теперь это стоимость обычных тарифов.

Защита от атаки.

В начале прошлой недели мы подверглись атаке.

b_5d0f8820ec0dd.jpg

Начиналось все достаточно безобидно и обыденно — sql и html инъекции, попытки воздействовать на систему через ajax нашей же системы. Ничего интересного. А вот когда пошли попытки XXE и CSRF — мы немного напряглись. Наша система написана как подобает любому качественному продукту - с учетом контроля прав, сессий, csrf-токенов и вводных данных. Поэтому этого было не достаточно, что бы причинить нам хоть какой то урон, но сам факт того, что XXE и CSRF это не типичный случай залётных ботов, игнорировать было нельзя. Мы на всякий случай прогнали пару раз UnitTest с разными вводными данными, проинспектировали потенциально уязвимые места и на этом успокоились, но продолжили следить.

В конечном итоге ночью наш сервер успешно начал зависать от старого доброго DDoS. Все было бы печально, если бы наши админы неделей ранее не подняли резервный сервер. Пока происходило подключение мощностей резервного сервера были произведены первичные меры — блок на трафик из нескольких стран и контроль кук, которые записывались через js, с целью отсечь слабый BotNet. Как оказалось этого хватило с лихвой что бы снять значительную нагрузку с сервера. Сервер заработал в штатном режиме через 4 минуты после атаки, так и не упав.

После этого инцидента мы подключили к серверу защиту от DDoS. Судя по мощности атаки это кто-то с небольшим BotNet решил нас проверить. И хоть сервер так и не упал это спровоцировало нас на подключение защиты.

0
В избр. Сохранено
Авторизуйтесь
Вход с паролем
Комментарии
Выбрать файл
Блог проекта
Расскажите историю о создании или развитии проекта, поиске команды, проблемах и решениях
Написать
Личный блог
Продвигайте свои услуги или личный бренд через интересные кейсы и статьи
Написать

Spark использует cookie-файлы. С их помощью мы улучшаем работу нашего сайта и ваше взаимодействие с ним.