Erweiterte Sicherheitsfunktionen

Verfügbar in:

Post Affiliate Pro , Post Affiliate Pro Ultimate , Post Affiliate Network

Post Affiliate Pro bietet Enterprise-Sicherheitsfunktionen, die darauf ausgelegt sind, Ihr Partnerprogramm vor unbefugtem Zugriff, Missbrauch und Betrug zu schützen. Dieser Leitfaden behandelt die erweiterten Sicherheitsmechanismen, die in die Plattform integriert sind.

API-Authentifizierungsmethoden

Die API v3 von Post Affiliate Pro verwendet moderne Authentifizierungsstandards, um sicheren Zugriff auf Ihre Partnerprogrammdaten und -operationen zu gewährleisten.

API-Schlüssel-Authentifizierung

API-Schlüssel bieten eine sichere Methode für Server-zu-Server-Kommunikation. Jeder API-Schlüssel in Post Affiliate Pro enthält:

• Token-ID und Hash: API-Schlüssel verwenden ein sicheres Token-Format mit einer eindeutigen Kennung und kryptographisch gehashtem Geheimnis. Das Klartext-Token wird nie in der Datenbank gespeichert.
• Ablaufdatum: Sie können ein Ablaufdatum für API-Schlüssel festlegen, um regelmäßige Rotation sicherzustellen.
• Rollenbasierter Zugriff: Jeder Schlüssel erbt Berechtigungen von der zugeordneten Benutzerrolle.
• Bereichsbeschränkungen: Definieren Sie spezifische Bereiche, um zu begrenzen, welche Operationen der API-Schlüssel ausführen kann.
• IP-Whitelisting: Beschränken Sie die API-Schlüssel-Nutzung auf bestimmte IP-Adressen oder CIDR-Bereiche.
• Nutzungsverfolgung: Das System verfolgt, wann jeder Schlüssel zuletzt verwendet wurde und wie oft er aufgerufen wurde.

Um sich mit einem API-Schlüssel zu authentifizieren, fügen Sie ihn als Bearer-Token im Authorization-Header ein:

Authorization: Bearer pap_XXXXXXXXXX_YYYYYYYYYYYYYYYYYYYYYYYYYYYY

OAuth 2.0-Authentifizierung

Für Drittanbieter-Integrationen und temporären Zugriff unterstützt Post Affiliate Pro OAuth 2.0 Bearer-Token mit Bereichsvalidierung. Der OAuth-Authentifikator:

• Validiert Bearer-Token gegen die API-Schlüssel-Datenbank
• Überprüft, dass das Token alle erforderlichen Bereiche für die angeforderte Operation hat
• Gibt klare Fehlermeldungen bei unzureichenden Berechtigungen zurück (HTTP 403)
• Integriert sich nahtlos mit dem Ratenbegrenzungssystem

Bereichsbasierte Berechtigungen ermöglichen feingranulare Kontrolle darüber, worauf jedes Token zugreifen kann, und stellen sicher, dass Drittanbieter-Integrationen nur auf die Daten zugreifen können, die sie benötigen.

Ratenbegrenzung

Post Affiliate Pro implementiert intelligente Ratenbegrenzung, um Ihr Partnerprogramm vor Missbrauch, Denial-of-Service-Versuchen und außer Kontrolle geratenen Automatisierungsskripten zu schützen.

Globale API-Ratenlimits

Die API v3 erzwingt folgende Ratenlimits:

• 100 Anfragen pro Minute für alle API-Endpunkte
• 10 fehlgeschlagene Authentifizierungsversuche pro Minute pro IP-Adresse für Bearer-Token-Authentifizierung

Wenn Sie das Ratenlimit überschreiten, gibt die API zurück:

• HTTP 429 (Too Many Requests) Statuscode
• Retry-After-Header, der anzeigt, wann Sie es erneut versuchen können
• X-RateLimit-Limit-Header, der die maximal erlaubten Anfragen anzeigt
• X-RateLimit-Remaining-Header, der verbleibende Anfragen im aktuellen Fenster anzeigt
• X-RateLimit-Reset-Header, der anzeigt, wann das Ratenlimit zurückgesetzt wird

Token-Bucket-Algorithmus

Die Ratenbegrenzung verwendet einen Token-Bucket-Algorithmus, der bietet:

• Konfigurierbare Zeitfenster (Sekunde, Minute, Stunde, Tag, Woche, Monat)
• Graduelle Auffüllung verfügbarer Anfragen über die Zeit
• Schutz vor sowohl anhaltendem Missbrauch als auch Burst-Angriffen
• Separate Buckets für verschiedene Operationstypen (Authentifizierung, Passwort-Zurücksetzen, Registrierungen, etc.)

Authentifizierungs-Ratenbegrenzung

Fehlgeschlagene Authentifizierungsversuche werden separat verfolgt, um Brute-Force-Angriffe zu verhindern:

• Fehlgeschlagene Bearer-Token-Authentifizierungen verbrauchen Token aus einem IP-spezifischen Bucket
• Nach 10 fehlgeschlagenen Versuchen innerhalb einer Minute werden weitere Authentifizierungsversuche blockiert
• Erfolgreiche Authentifizierung setzt den Fehlerzähler für diese IP zurück
• Der Ratenlimit-Status wird zur Sicherheitsüberwachung protokolliert

Sitzungssicherheit

Post Affiliate Pro implementiert robuste Sitzungsverwaltung zum Schutz von Benutzerkonten.

Sitzungsverwaltungsfunktionen

• Sichere Sitzungs-IDs: Sitzungen verwenden 32-stellige kryptographisch sichere Kennungen
• Sitzungsvalidierung: Jede Anfrage validiert den Sitzungsstatus und das zugehörige Modul
• Sitzungsablauf: Abgelaufene Sitzungen werden automatisch erkannt und behandelt
• Sitzungsspeicherung: Sitzungen können in der Datenbank oder Redis für Hochleistungsumgebungen gespeichert werden
• Multi-Sitzungs-Kontrolle: Benutzer können ihre anderen Sitzungen beenden lassen, wenn sicherheitsrelevante Änderungen auftreten

Sitzungsbeendigung bei Sicherheitsereignissen

Wenn kritische Sicherheitsereignisse auftreten, beendet Post Affiliate Pro automatisch zugehörige Sitzungen:

• Aktivierung der Zwei-Faktor-Authentifizierung macht alle anderen aktiven Sitzungen ungültig
• Passwortänderungen können Sitzungsinvalidierung auslösen
• API-Schlüssel-Löschung beendet zugehörige Sitzungen
• Kontostatusänderungen lösen Sitzungsbereinigung aus

Login-Schutz

Post Affiliate Pro bietet umfassenden Login-Schutz mit konfigurierbaren Einstellungen für sowohl Händler- als auch Partner-Panels.

IP-basierte Einschränkungen

Gesperrte IP-Adressen: Blockieren Sie Login-Versuche von bestimmten IP-Adressen oder -Bereichen. Das System:

• Validiert IP-Adressen gegen die Sperrliste vor der Verarbeitung des Logins
• Verhindert, dass Sie versehentlich Ihre eigene aktuelle IP-Adresse sperren
• Unterstützt separate Sperrlisten für Händler- und Partner-Panels

Erlaubte IP-Adressen: Beschränken Sie den Login-Zugang auf eine Whitelist genehmigter IP-Adressen:

• Nur Benutzer, die sich von gewhitelisteten IPs verbinden, können sich anmelden
• Unterstützt sowohl einzelne IP-Adressen als auch IP-Bereiche
• Schützt Sie davor, sich selbst auszusperren, indem überprüft wird, ob Ihre aktuelle IP auf der Liste steht, bevor gespeichert wird

Ratenbegrenzung für Logins

Login-Versuche sind ratenbegrenzt, um Brute-Force-Angriffe zu verhindern:

• Pro-IP-Ratenbegrenzung: Begrenzt die Anzahl der Login-Versuche von einer einzelnen IP-Adresse pro Stunde
• Pro-Benutzername-Ratenbegrenzung: Begrenzt Versuche gegen einen bestimmten Benutzernamen, um gezielte Angriffe zu verhindern
• Konfigurierbare Limits für sowohl Händler- als auch Partner-Panels
• Fehlgeschlagene Versuche werden mit dem Token-Bucket-System verfolgt

Login-Schlüssel-Dienst

Für sicheres Single Sign-On und “Anmelden als”-Funktionalität verwendet Post Affiliate Pro temporäre Login-Schlüssel:

• Login-Schlüssel sind nur 30 Sekunden gültig
• Jeder Schlüssel kann nur einmal verwendet werden (wird bei Verwendung verbraucht)
• Schlüssel werden kryptographisch mit sicheren Zufallsfunktionen generiert
• Berechtigungsprüfungen stellen sicher, dass nur autorisierte Benutzer Login-Schlüssel für andere Konten generieren können

Verkaufsbetrugsschutz

Post Affiliate Pro enthält ein dediziertes Sale Tracking Fraud Protection Plugin, das MD5-Prüfsummen verwendet, um die Authentizität von Transaktionen zu verifizieren.

Funktionsweise

1. Wenn ein Verkauf verfolgt wird, berechnet das System eine MD5-Prüfsumme unter Verwendung der Gesamtkosten, Bestell-ID und eines geheimen Schlüssels
2. Diese Prüfsumme muss mit der Verkaufsverfolgungsanfrage mitgesendet werden
3. Das System berechnet die Prüfsumme neu und vergleicht sie mit dem übermittelten Wert
4. Wenn die Prüfsummen nicht übereinstimmen, wird die Transaktion abgelehnt

Konfigurationsoptionen

• Globaler geheimer Schlüssel: Setzen Sie einen Standardschlüssel für alle Kampagnen
• Kampagnenspezifische Schlüssel: Überschreiben Sie den globalen Schlüssel mit eindeutigen Schlüsseln pro Kampagne für zusätzliche Sicherheit
• Prüfsummenparameter: Wählen Sie, welches Datenfeld die Prüfsumme trägt (data1 bis data5)

Dieser Schutz stellt sicher, dass nur legitime Verkäufe von Ihrer Website verfolgt werden und verhindert betrügerische Transaktionsübermittlungen aus externen Quellen.

Klickbetrugsschutz

Post Affiliate Pro überwacht alle Klicks und kann betrügerische automatisch ablehnen oder verwerfen.

Erkennungsmethoden

Duplikat-Klick-Erkennung: Identifiziert Klicks von derselben IP-Adresse innerhalb eines konfigurierbaren Zeitraums:

• Zeitfenster in Sekunden festlegen
• Optional gleichen User-Agent für Duplikaterkennung verlangen
• Optional gleiches Banner oder gleiche Kampagne für strengere Erkennung verlangen
• Wählen, ob der Klick abgelehnt (als betrügerisch markiert) oder nicht gespeichert werden soll

Gesperrte IP-Schutz: Klicks von bekannten bösartigen Akteuren blockieren:

• Gesperrte IP-Adressen und -Bereiche definieren
• Klicks von gesperrten IPs werden automatisch abgelehnt oder verworfen
• Separate Einstellungen pro Konto verfügbar

Gesperrter Referrer-Schutz: Klicks von verdächtigen Referrer-URLs blockieren:

• Muster für gesperrte Referrer-URLs definieren
• Verhindert Klickbetrug von bestimmten Websites oder Traffic-Quellen

Erlaubte IP/Referrer-Listen: Whitelists für legitimen Traffic erstellen:

• Nur Klicks von genehmigten IP-Bereichen akzeptieren
• Nur Klicks von genehmigten Referrer-URLs akzeptieren
• Option, leere Referrer zu erlauben
• Option, Banner-Ziel-Domains zu erlauben

Betrugsschutz-Aktionen

Für jeden Erkennungstyp können Sie wählen:

• Ablehnen: Klick speichern, aber als abgelehnt markieren (in Berichten sichtbar)
• Nicht speichern: Klick vollständig verwerfen (nicht in Datenbank gespeichert)

Aktion/Verkaufsbetrugsschutz

Ähnliche Schutzmaßnahmen existieren für Verkaufs- und Lead-Tracking.

Duplikaterkennung

Doppelte Bestellungen von derselben IP: Erkennt mehrere Verkäufe von derselben IP-Adresse:

• Konfigurierbares Zeitfenster in Sekunden
• Optionaler Abgleich nach User-Agent, Kampagne, Produkt-ID, Bestell-ID oder Provisionstyp
• Verhindert schnell aufeinanderfolgende betrügerische Verkaufsübermittlungen

Doppelte Bestell-IDs: Erkennt Verkäufe mit derselben Bestell-ID:

• Konfigurierbares Zeitfenster in Stunden
• Optionaler Abgleich nach Kampagne oder Produkt-ID
• Verhindert doppelte Provisionsauszahlungen durch Seitenaktualisierungen oder Replay-Angriffe

Bestellsperre

Bei der Verarbeitung eines Verkaufs sperrt das System die Bestell-ID vorübergehend:

• Verhindert Race Conditions, wenn dieselbe Bestellung mehrmals gleichzeitig übermittelt wird
• Sperre läuft nach 60 Sekunden ab
• Blockierte doppelte Bestellungen erhalten klare Fehlermeldungen

IP- und Referrer-Schutz

Verkäufe erben dieselben gesperrten/erlaubten IP- und Referrer-Schutzmaßnahmen wie Klicks:

• Verkäufe von gesperrten IP-Adressen blockieren
• Verkäufe von gesperrten Referrer-URLs blockieren
• Verkäufe nur von gewhitelisteten IPs oder Referrern erlauben
• Benutzerdefinierte Ablehnungsmeldungen für jeden Schutztyp

Zwei-Faktor-Authentifizierung

Post Affiliate Pro unterstützt TOTP (Time-based One-Time Password) Zwei-Faktor-Authentifizierung für erhöhte Kontosicherheit.

Implementierung

• Verwendet Standard-TOTP-Algorithmus, kompatibel mit Google Authenticator und ähnlichen Apps
• Generiert einen eindeutigen geheimen Schlüssel pro Benutzer, sicher in Benutzerattributen gespeichert
• Bietet QR-Codes für einfache Mobile-App-Einrichtung
• Validiert Codes mit einem 90-Sekunden-Fenster (3 Perioden von je 30 Sekunden)

Sicherheitsfunktionen

• Ratenbegrenzt: Zwei-Faktor-Code-Validierung ist auf 5 Versuche pro Minute begrenzt
• Sitzungsinvalidierung: Aktivierung von 2FA macht alle anderen aktiven Sitzungen für diesen Benutzer ungültig
• Passwortanfrage-Invalidierung: Ausstehende Passwort-Zurücksetzungsanfragen werden ungültig, wenn 2FA aktiviert wird
• Audit-Protokollierung: 2FA-Aktivierung wird im Audit-Trail protokolliert

Verfügbarkeit

Zwei-Faktor-Authentifizierung ist verfügbar für:

• Händler-Panel-Benutzer
• Partner-Panel-Benutzer

Jeder Benutzer kann 2FA unabhängig über seine Profileinstellungen aktivieren.

Sicherheits-Best-Practices

Um die Sicherheit Ihrer Post Affiliate Pro Installation zu maximieren:

API-Sicherheit

1. API-Schlüssel regelmäßig rotieren: Ablaufdaten setzen und Schlüssel periodisch ersetzen
2. Minimale Bereiche verwenden: Nur die Berechtigungen gewähren, die jede Integration tatsächlich benötigt
3. IP-Whitelisting implementieren: API-Zugriff auf bekannte Server-IPs beschränken
4. Nutzung überwachen: API-Schlüssel-Nutzungszähler und Letzte-Verwendung-Zeitstempel überprüfen
5. OAuth für Drittanbieter verwenden: Kurzlebige OAuth-Token für externe Integrationen bevorzugen

Kontosicherheit

1. Zwei-Faktor-Authentifizierung aktivieren: 2FA für alle Händlerkonten verlangen
2. Starke Passwörter verwenden: Mit 2FA kombinieren für maximalen Schutz
3. Login-Ratenlimits konfigurieren: Angemessene Limits setzen, um Brute-Force-Angriffe zu verhindern
4. IP-Einschränkungen implementieren: Erlaubte IP-Listen für sensible Konten verwenden
5. Audit-Logs überprüfen: Regelmäßig das Audit-Log auf verdächtige Aktivitäten prüfen

Betrugsprävention

1. Verkaufsbetrugsschutz aktivieren: MD5-Prüfsummenverifizierung für alle Kampagnen verwenden
2. Duplikaterkennung konfigurieren: Angemessene Zeitfenster für Ihr Geschäftsmodell setzen
3. IP-Sperrung proaktiv nutzen: Bekannte betrügerische IP-Bereiche blockieren
4. Abgelehnte Transaktionen überwachen: Abgelehnte Klicks und Verkäufe auf Muster überprüfen
5. Betrugsmeldungen anpassen: Klare Meldungen helfen legitimen Benutzern, Ablehnungen zu verstehen

Wissensdatenbank-Ressourcen

Für detaillierte Konfigurationsanweisungen besuchen Sie unsere Support-Dokumentation:

• API v3 Dokumentation
• API-Schlüssel-Verwaltung
• OAuth-Token-Erstellung
• Betrugsschutz-Konfiguration