Закон и реалии: противоречия в требованиях

0
Акашева Василиса Игоревна11/1/2020

1. Закон: площадка для торгов должна обеспечить доступ любому аккредитованному участнику.
2. Практика: один из участников регистрирует какое-нибудь ООО «Ромашка», получает электронную подпись и начинает флудить тяжёлыми запросами площадку. Запросы включают криптографию, причём не самую быструю.
3. Стандартное противодействие: отключить его или временно заблокировать.

Как видите, пункты 1 и 3 — взаимоисключающие.
А мы так живём.

Итак, если аккредитованному участнику приходит блокирование доступа — при жалобе возникает большой штраф. Один запрос из миллиона заблокируем — сразу штраф за работу файрвола. Если это был пакет с юридически значимым действием.

Это логично, но идёт вразрез с вопросами защиты информации. Все существующие средства работают по принципу определения вредоносной составляющей трафика и её блокирования. Когда участники приходят на площадку и участвуют в аукционах — нельзя доверять системе фильтрацию, кого пустить, кого — нет. Все должны попасть на торги. Никакие алгоритмы не имеют права решить, кого не допускать на площадку. Подпись — это огромная криптограмма на 10 килобайт. По меркам веб-трафика — это одно из самых тяжёлых входящих сообщений (кроме закачки файлов). Используются стойкие алгоритмы, прожорливые на производительность.

Есть правила площадки. И если пользователи используют клиент-серверное приложение, и если они это делают в рамках регламента, то всё хорошо. Система может обрабатывать много торгов сразу.

Мы имеем право блокировать работу небраузерных клиентов. Они не соответствуют регламенту площадки. Находятся умельцы, которые создают альтернативное ПО, которое имитирует работу живого пользователя с помощью браузера, — и оно может создавать серию высокочастотных запросов серверу. [...]

Вторая идея: блокировать таким товарищам подпись. Есть подписи, выданные удостоверяющими центрами с быстрой связью, есть такими, которые сотрудничать не захотят. Но даже если удостоверяющий центр заблокирует подпись, это будет проблемой, потому что дальше ляжет жалоба в ФАС. А они вас за блокировку без технической экспертизы сильно накажут. Аккредитация на площадке тоже не может быть приостановлена — она по закону на три года, и нельзя её приостановить никак. Просто нет процедуры.

Теперь — почему надо с трудом обрабатывать каждый запрос. Дело в том, что запросы на цену или мониторинг ставятся в очередь обработки на горячую базу. Из-за одной десятитысячной секунды может возникнуть спор до суда. Запрос расшифровывается, дальше идёт исключительная блокировка, потом изменение в нескольких таблицах, потом обработка следующего запроса. Если ценовое предложение принять нельзя, то идёт процедура откатывания изменений (например, если предложение было больше текущей цены аукциона). Каждое решение имеет юридический статус.

Надо иметь полноценные логи каждого ценового предложения. Это накладывает ограничения на инфраструктуру, в частности — на возможность дробления базы и инкапсуляции её отдельных участков.

Анонимные запросы можно отбрасывать.

Подписанные надо обрабатывать.

Если они подписаны — это подача ценовых предложений, например. Первая идея — давать сессионные ключи, чтобы каждый раз не обрабатывать сложную аутентификацию. Пережили волну, борьба эскалировалась.

М. Кудряшов. DoS-атака, от которой нельзя закрыться: в закупках своя атмосфера. [Электронный ресурс] Habr. — Режим доступа: habr.com/ru/company/roseltorg/blog/440218.
Следующая статья
Бизнес и экономика
Иллюзия работы, или почему не работает самодиагностика процессов на предприятии — Часть 2
Если в вашей компании регулярно горят дедлайны, сотрудники увольняются пачками, а вы снова и снова оказываетесь в ситуации, где «всё приходится делать самому» — это не просто неудачный период. Это системная проблема. И если вы не можете понять, в чём именно она заключается, — скорее всего, вы просто не умеете правильно собирать данные для принятия решений. Не спешите расстраиваться: с этим сталкиваются даже опытные и умные руководители. Проблема не в личных качествах. Проблема — в подходе. Это вторая часть статьи, читайте первую часть тут.
Бизнес и экономика
Иллюзия работы, или почему не работает самодиагностика процессов на предприятии — Часть 2
IT
Почему ИИ не станет «человеком»: критика искусственного интеллекта в изложении Хьюберта Дрейфуса
Бизнес и экономика
Лучшие практики на службе у «Американского Красного Креста»
Бизнес и экономика
Почему люди не будут пользоваться знаниями, инструментами и практиками
Бизнес и экономика
10 типовых ошибок коммуникаций на промышленном предприятии
IT
Как шум и ошибки привели к созданию теории информации: от Найквиста до Шеннона
IT
Учить, а не кодировать: «новый подход» к ИИ, сформулированный ещё Аланом Тьюрингом
Бизнес и экономика
«Трудности» перевода в IT-проектах и как их преодолеть
Бизнес и экономика
Иллюзия работы, или почему не работает самодиагностика процессов на предприятии
IT
Норберт Винер о том, какие науки являются наиболее перспективными
IT
Может ли компьютер мыслить? 8 возражений, которые Алан Тьюринг сформулировал в середине XX века
Бизнес и экономика
Чем полезно разделение труда: выдержки из Адама Смита
Бизнес и экономика
Как фиксировать и внедрять лучшие практики в компании – инженер Гаррингтон Эмерсон
Бизнес и экономика
«Производственная система Тойоты. Уходя от массового производства» – реферат: самое главное из книги Тайити Оно
Livrezon-технологии
Интерфейс Photoshop: основная парадигма и базовые объекты
Livrezon-технологии
Исправляем ошибки при создании сайта личного архива