La sicurezza riguarda il bilanciamento di costi e rischi, niente è impossibile da battere, specialmente le tipiche implementazioni CAPTCHA, ma aggiungono qualcosa che nessun altro sistema sembra offrire.
Ho letto per un po 'su questi CAPTCHAs e su possibili alternative ... (quindi per favore non mi riferire ad altri siti / risposte a meno che non rispondano veramente alla seguente domanda).
Non ho alcuna esperienza, quindi per me è difficile stimare i costi e i rischi associati a questa decisione: dovrei impiegare CAPTCHA (sto pensando a JCaptcha o a reCaptcha), o sono abbastanza una combinazione di altre tecniche?
Ho un modulo di registrazione da compilare, ma non voglio che la mia tabella utente venga riempita di cestino. Il campo Honeypot è facile da implementare, ma oh così facile da aggirare, un semplice controllo di sicurezza (di che colore è il cielo?) Funziona bene contro l'attacco automatico, ma ogni quindicenne può costruire un semplice attacco mirato che distrugge la mia tabella utente ... javascript per controllare il tempo impiegato per compilare il modulo è insicuro e con un semplice post sul mio server rotto. Fondamentalmente, non ho trovato nulla che funzioni contro un attacco mirato leggermente intelligente tranne un tipico CAPTCHA, quindi non riesco a controllare la traina ... Quindi la vera domanda è che sono a rischio significativo di essere trollato con un attacco mirato così Preferirei perdere il 10% dei miei utenti a questi CAPTCHA o esiste un'alternativa che non tasserebbe tanto l'utente?
EDIT: Grazie mille per le tue risposte, certamente mi ha aiutato a chiarire le idee, specialmente il link a OWASP sull'evitare attacchi brute-force (ho ottenuto il mio +1, ma non ho accettato poiché non sembrava una soluzione, ma aiuta a trovarne una, se pensi che dovrei accettarla perché trovo la risposta migliore finora, ti prego di commentarla, perché potrei interpretare erroneamente il funzionamento del sito) .
D'altra parte Asirra è abbastanza divertente e facile, e molto meglio dei CAPTCHA tradizionali, lo consiglierei sicuramente su altri servizi. Il puzzle è molto più divertente, e anche se fallisci, falliresti solo una volta ... pietà:
Asirra is still in beta-testing; the service and its API may both be unstable.
Modifica finale: Nel caso in cui sia utile, ecco i passaggi che ho seguito per garantire che gli utenti non siano infastiditi dai CAPTCHA, ma mi sento al sicuro dai bot.
- honeypot field (così facile da implementare non mi costa nulla anche se non mi sento molto sicuro con esso.)
- link di verifica e-mail (o accesso OAuth) poiché era sempre sul mio piano di aggiungerlo. solo gli utenti convalidati vengono migrati alla mia tabella utente, il resto rimane registrato.
- time check: data / ora del server con firma caricata tramite ajax, l'utente deve impiegare almeno 5 secondi per compilare il modulo prima di inviare (la password) o viene scartato.
- pagina di conferma (con token firmato dal server per garantire che la richiesta sia passata per primo attraverso il server) dopo la registrazione che avverte l'utente che è richiesta una e-mail di conferma e ha un pulsante per inviare l'e-mail di conferma. (Nel qual caso i dati sono anche registrati sul DB)
Questo non fermerà un attaccante molto dedicato, ma spero che non vogliano passare ore e ore a sintonizzare il suo attacco per ottenere nulla, solo a darmi fastidio.
