C'è qualche ragione per includere l'ip remoto quando si usa reCaptcha?

16

Sto implementando il reCaptcha di Google nella mia app. Secondo la documentazione , la mia richiesta API deve includere la mia chiave segreta e la risposta, e facoltativamente l'ip del telecomando dell'utente

Per quali ragioni includerei l'IP remoto?

    
posta Mooseman 17.02.2015 - 18:21
fonte

4 risposte

11

Perché potrebbe esserci un reindirizzamento di host / DNS per consentire al captcha di essere analizzato in modo diverso da un utente malintenzionato

Uno scenario possibile è quello di coltivare manodopera a basso costo per risolvere manualmente i captcha e quindi inviarli di nuovo con il modulo. Dal momento che il recaptcha servirà solo l'immagine una volta che questo è il modo pigro di coltivarlo. (reindirizzare l'immagine richiesta altrove).

Se l'indirizzo IP che richiede l'immagine è diverso dall'indirizzo IP che richiede la pagina, questo indicherà questo tipo di attacco.

    
risposta data 18.02.2015 - 18:03
fonte
3

In alcuni casi il passato Google ha rifiutato le richieste senza l'ip remoto. Successivamente, avrebbero preso qualsiasi stringa includendo una stringa vuota. Ora sembra opzionale. Immagino che chiedono l'i.p per aiutare con la sicurezza sia per i propri scopi, sia per aiutare a prevenire l'abuso dell'API. I documenti attuali lo contrassegnano come facoltativo, quindi sentitevi liberi di ometterlo se volete.

link

Questo è un post di Google Gruppi del 2010, in cui il supporto Recaptcha implica che il telecomando potrebbe diventare obbligatorio:

link

Non sembra che sia successo. ma sembra che stessero considerando di renderlo obbligatorio in una volta, e non l'hanno fatto. Questa è pura speculazione da parte mia.

    
risposta data 17.02.2015 - 20:45
fonte
3

C'è un'altra ragione: molte reti interne usano anche il recaptcha - come su hotspot WiFi, e cose del genere.

In queste circostanze, Google vede sia l'IP dell'utente che del server come lo stesso, poiché condividono la stessa connessione. Fornire a Google l'IP locale dell'utente consente alla macchina di valutazione del rischio di fare un lavoro migliore per rintracciare le persone che sono bruteforcing della selezione delle immagini, che altrimenti metterebbe in blacklist TUTTI gli utenti.

< tinfoil > Anche Google vuole i tuoi dati ma non può sempre giustificare il motivo < / Carta stagnola >

    
risposta data 23.07.2015 - 15:07
fonte
0

Quando paragono i miei "punteggi" con scenari diversi, vedo questo:

  1. senza remoteip: punteggi variabili tra 0,7 e 0,9
  2. Con il telecomando "buono": quasi sempre 0.9.
  3. con il telecomando "sbagliato": quasi sempre 0.7.

Non sono sicuro che questo test darà sempre gli stessi risultati, ma sono i risultati che ho ottenuto oggi testandolo più volte.

Quindi, fornire l'ip aiuta a ottenere un punteggio migliore, è un doppio controllo da parte del client e del server che può aiutare a rilevare attività sbagliate.

    
risposta data 09.01.2019 - 17:05
fonte

Leggi altre domande sui tag