Heroku 上的 Rails 应用程序 - 请推荐防御性编程技术

Question

我刚刚在 heroku.com 上上线了一个 Rails 应用程序，该应用程序为一些触摸屏信息亭提供服务，并且我第一次遇到了恶意用户进行一些虚假服务预订的情况。我想要一些有关审计数据的建议，我可以记录这些数据，以帮助我追踪或以其他方式阻止或防止此类恶意活动。

一些简短的背景 - 我设计了一个基于 Rails 的网站，该网站针对旅游业，允许客户预订住宿和其他旅游相关服务，例如乘船游览。我们在触摸屏信息亭（想想带有 40 英寸触摸屏的 6.5 英尺高的设备）上运行此应用程序，并向服务提供商发送预订电子邮件通知。

我正在寻找的是关于我可以在预订时记录的内容的建议（以及其他信息）。交易）的发生，以便我可以帮助验证有效的预订并记录详细信息，以便以后追踪这些虚假预订，然后我可以将此信息添加到黑名单中，以阻止这些机器造成进一步的问题

。已经记录了request.remote_ip 地址，但理想情况下也希望能够记录 remote_ip 的主机名，因为 IP 地址可能会动态更改，这可能吗？我应该创建一个随机密钥并将其存储为 cookie 以唯一标识每个客户端计算机。 ？

我并不打算起诉每一个进行虚假预订的人，我只是希望能够阻止、防止或跟踪此类恶意活动，并且希望您能提供有关如何做到这一点的建议。

非常感谢， 克雷格.

Answer 1

我认为这个问题有点模糊。您需要看看您所知道的：什么是无效的虚假预订？您个人是如何发现某些特定预订是伪造的？有人告诉过你吗，你自己根据数据算出来的吗？

您首先需要收集虚假预订的所有细节，如果存在某种模式，那么您就可以将其作为过滤器实施。我的意思是，如果有人知道预订是假的，为什么你的系统不知道呢？

记录 IP 地址和主机名是徒劳的......你永远不会抓到谁这样做了。为什么不预先使用信用卡号码或至少确认的电子邮件地址进行验证？如果您有预先的信用卡号，那么您可以直接链接到该人以解决争议和/或阻止通过卡号进行进一步的尝试。 IP 地址太难追踪。

IP 地址可以通过反向查找转换为主机名，但如果 IP 更改，主机名也会更改。如果您已经记录了 IP，则稍后可以随时进行反向查找，但我并没有真正看到了解主机名的价值（？）。