Закон и реалии: противоречия в требованиях

0
Акашева Василиса Игоревна11/1/2020

1. Закон: площадка для торгов должна обеспечить доступ любому аккредитованному участнику.
2. Практика: один из участников регистрирует какое-нибудь ООО «Ромашка», получает электронную подпись и начинает флудить тяжёлыми запросами площадку. Запросы включают криптографию, причём не самую быструю.
3. Стандартное противодействие: отключить его или временно заблокировать.

Как видите, пункты 1 и 3 — взаимоисключающие.
А мы так живём.

Итак, если аккредитованному участнику приходит блокирование доступа — при жалобе возникает большой штраф. Один запрос из миллиона заблокируем — сразу штраф за работу файрвола. Если это был пакет с юридически значимым действием.

Это логично, но идёт вразрез с вопросами защиты информации. Все существующие средства работают по принципу определения вредоносной составляющей трафика и её блокирования. Когда участники приходят на площадку и участвуют в аукционах — нельзя доверять системе фильтрацию, кого пустить, кого — нет. Все должны попасть на торги. Никакие алгоритмы не имеют права решить, кого не допускать на площадку. Подпись — это огромная криптограмма на 10 килобайт. По меркам веб-трафика — это одно из самых тяжёлых входящих сообщений (кроме закачки файлов). Используются стойкие алгоритмы, прожорливые на производительность.

Есть правила площадки. И если пользователи используют клиент-серверное приложение, и если они это делают в рамках регламента, то всё хорошо. Система может обрабатывать много торгов сразу.

Мы имеем право блокировать работу небраузерных клиентов. Они не соответствуют регламенту площадки. Находятся умельцы, которые создают альтернативное ПО, которое имитирует работу живого пользователя с помощью браузера, — и оно может создавать серию высокочастотных запросов серверу. [...]

Вторая идея: блокировать таким товарищам подпись. Есть подписи, выданные удостоверяющими центрами с быстрой связью, есть такими, которые сотрудничать не захотят. Но даже если удостоверяющий центр заблокирует подпись, это будет проблемой, потому что дальше ляжет жалоба в ФАС. А они вас за блокировку без технической экспертизы сильно накажут. Аккредитация на площадке тоже не может быть приостановлена — она по закону на три года, и нельзя её приостановить никак. Просто нет процедуры.

Теперь — почему надо с трудом обрабатывать каждый запрос. Дело в том, что запросы на цену или мониторинг ставятся в очередь обработки на горячую базу. Из-за одной десятитысячной секунды может возникнуть спор до суда. Запрос расшифровывается, дальше идёт исключительная блокировка, потом изменение в нескольких таблицах, потом обработка следующего запроса. Если ценовое предложение принять нельзя, то идёт процедура откатывания изменений (например, если предложение было больше текущей цены аукциона). Каждое решение имеет юридический статус.

Надо иметь полноценные логи каждого ценового предложения. Это накладывает ограничения на инфраструктуру, в частности — на возможность дробления базы и инкапсуляции её отдельных участков.

Анонимные запросы можно отбрасывать.

Подписанные надо обрабатывать.

Если они подписаны — это подача ценовых предложений, например. Первая идея — давать сессионные ключи, чтобы каждый раз не обрабатывать сложную аутентификацию. Пережили волну, борьба эскалировалась.

М. Кудряшов. DoS-атака, от которой нельзя закрыться: в закупках своя атмосфера. [Электронный ресурс] Habr. — Режим доступа: habr.com/ru/company/roseltorg/blog/440218.
Следующая статья
Бизнес и экономика
Фрэнсис Форд Коппола о секретах организации прямого эфира
Приходит время, когда ваш хорошо подготовленный и полный энергии актерский состав начинает, спотыкаясь, отыгрывать по целому акту за раз, потом по нескольку актов и, наконец, — постарайтесь добраться до этого момента как можно скорее — всю постановку полностью. Весь этот процесс очень похож на то, как готовится спектакль в театре, и поэтому я решил поручить его организацию театральному помощнику режиссера. Именно его голос предупреждает о том, сколько минут осталось до выхода в эфир, отсчитывает в обратном порядке время и дает указания касательно света, именно этот человек сигнализирует актера...
Бизнес и экономика
Фрэнсис Форд Коппола о секретах организации прямого эфира
Иностранные языки и лингвистика
Перевод как промышленное изделие
Бизнес и экономика
Reskilling China. Реферат по исследованию McKinsey. Часть 1
Бизнес и экономика
Неоднозначные требования в техническом задании и как от них избавиться
Livrezon-технологии
Роман Зайруллин о том, как ввести новичков в абсолютно хаотичный проект
Бизнес и экономика
Хронометраж + видеокамера: как сократить внутренние издержки на производстве?
Бизнес и экономика
1 500 туземцев, ни слова по-английски и оптимизация африканского производства
Бизнес и экономика
Малый, средний и крупный бизнес. Почему так важно правильно масштабировать фирму?
Бизнес и экономика
Раскрутка сети магазинов на примере «Избёнки» и «ВкусВилла»
Бизнес и экономика
Этот самолет слишком сложен, чтобы на нем мог летать один человек
Бизнес и экономика
Питер Друкер: «Фредерик Тейлор разрушил романтику труда»
Бизнес и экономика
Зачем Фредерик Тейлор написал «Принципы научного менеджмента»?
Биографии
Американский бизнес 1900-х гг. глазами Николы Тесла
Бизнес и экономика
Как достичь максимальной производительности труда?
Бизнес и экономика
22 правила телефонного этикета
Бизнес и экономика
Слава Полунин: договор с артистом на Бродвее