Сьогодні тема про інформаційну безпеку сайтів, або як не втрачати кошти через «дірки» в системі безпеки. Я часто бачу в рекламі сайти, які рекламують свої курси або інші діджитал продукти. Якщо продукт мене зацікавив — я можу провести аудит сайту, щоб більше дізнатися про цей продукт.
В більшості випадків у сайтів є одна і та ж сама помилка — можна отримати доступ до курсу чи діджитал продукту навіть без оплати. Ця помилка надзвичайно банальна і проста. Справа в тому, що часто сайти створюються на конструкторах, а самі no-code розробники навіть близько не знають про інформаційну безпеку, через це будь-хто в будь-який момент може отримати доступ до прихованих сторінок. Така проблема зустрічається не у всіх, але у багатьох так точно.
Як це працює?
Якщо ваш сайт створений на конструкторі, є велика ймовірність що на сайті є сторінка sitemap.xml, яка мість в собі перелік всіх сторінок на вашому сайті. Там можна знайти thank-you сторінку, сторінку доступу до закритого Telegram-чату, каналу або доступ до корисних відео та файлів, які доступні після розсилки.
Таким чином, побачивши в рекламі будь-який сайт, який продає курси, потім перейшовши по адресі site.com/sitemap.xml (де sites.com — це домен сайту, на який запущена реклама) — ви можете отримати список сторінок і потім не складним почерговим перебором отримати доступ до захищеного контенту.
Як захиститися? Закрийте сторінку від звичайного перегляду, додайте авторизацію, або якісь інші схеми — наприклад щоб контент сторінки відображався лише за наявності додаткових UTM-міток, які доступні будуть лише після оплати.
Відеоконтент та DRM-захист
Додатковий поінт для людей, які займаються курсами — захист від скачування відео. Я бачив різноманітні платформи для викладення курсів — Vimeo, YouTube, просто завдяки HTML5 вставлене відео, якісь сторонні сервіси. В принципі при сильному бажанні можна завантажити відео навіть із сервісу із DRM-захистом, але зазвичай для цього треба більш професійна підготовка.
Як захиститися? Використовуйте сервіси, які надають DRM захист, це в більшості випадків може врятувати від викрадення контенту.
Ця інформація публікується для того, аби всі власники курсів та інших діджитал продуктів переглянули свої методи захисту контенту, посилили їх і не втрачали гроші через банальні прорахунки в безпеці.
Залишити відповідь
Щоб відправити коментар вам необхідно авторизуватись.