Sto implementando il reCaptcha di Google nella mia app. Secondo la documentazione , la mia richiesta API deve includere la mia chiave segreta e la risposta, e facoltativamente l'ip del telecomando dell'utente
Per quali ragioni includerei l'IP remoto?
Perché potrebbe esserci un reindirizzamento di host / DNS per consentire al captcha di essere analizzato in modo diverso da un utente malintenzionato
Uno scenario possibile è quello di coltivare manodopera a basso costo per risolvere manualmente i captcha e quindi inviarli di nuovo con il modulo. Dal momento che il recaptcha servirà solo l'immagine una volta che questo è il modo pigro di coltivarlo. (reindirizzare l'immagine richiesta altrove).
Se l'indirizzo IP che richiede l'immagine è diverso dall'indirizzo IP che richiede la pagina, questo indicherà questo tipo di attacco.
In alcuni casi il passato Google ha rifiutato le richieste senza l'ip remoto. Successivamente, avrebbero preso qualsiasi stringa includendo una stringa vuota. Ora sembra opzionale. Immagino che chiedono l'i.p per aiutare con la sicurezza sia per i propri scopi, sia per aiutare a prevenire l'abuso dell'API. I documenti attuali lo contrassegnano come facoltativo, quindi sentitevi liberi di ometterlo se volete.
Questo è un post di Google Gruppi del 2010, in cui il supporto Recaptcha implica che il telecomando potrebbe diventare obbligatorio:
Non sembra che sia successo. ma sembra che stessero considerando di renderlo obbligatorio in una volta, e non l'hanno fatto. Questa è pura speculazione da parte mia.
C'è un'altra ragione: molte reti interne usano anche il recaptcha - come su hotspot WiFi, e cose del genere.
In queste circostanze, Google vede sia l'IP dell'utente che del server come lo stesso, poiché condividono la stessa connessione. Fornire a Google l'IP locale dell'utente consente alla macchina di valutazione del rischio di fare un lavoro migliore per rintracciare le persone che sono bruteforcing della selezione delle immagini, che altrimenti metterebbe in blacklist TUTTI gli utenti.
< tinfoil > Anche Google vuole i tuoi dati ma non può sempre giustificare il motivo < / Carta stagnola >
Quando paragono i miei "punteggi" con scenari diversi, vedo questo:
Non sono sicuro che questo test darà sempre gli stessi risultati, ma sono i risultati che ho ottenuto oggi testandolo più volte.
Quindi, fornire l'ip aiuta a ottenere un punteggio migliore, è un doppio controllo da parte del client e del server che può aiutare a rilevare attività sbagliate.