AntiForgeryToken contro Captcha

10

Ho qualche domanda riguardante captcha e AntiForgeryToken

  1. Devo usare captcha se sto usando AntiForgeryToken in un'applicazione MVC.
  2. AntiForgeryToken impedisce l'invio automatico dei moduli?
  3. Posso usare AntiForgeryToken come alternativa a captcha ?
posta Twix 01.09.2014 - 09:19
fonte

3 risposte

13

Per rispondere un po 'più esplicitamente:

Do I need to use captcha if I am using AntiForgeryToken in an MVC application.

Se gli invii automatizzati sono un problema, allora sì.

Does AntiForgeryToken prevents automated form submission?

No. Un token CSRF garantisce in sostanza che un utente visiti una pagina (ad esempio quella che contiene il modulo) prima che un'altra azione abbia luogo (ad esempio, tale modulo è stato inviato). Un bot potrebbe facilmente ottenere un token valido per inviare un modulo.

Can I use AntiForgeryToken as an alternative to captcha?

No. Probabilmente un CAPTCHA potrebbe essere in grado di sostituire un token CSRF ma un CAPTCHA probabilmente non è pratico su tutti i moduli che necessitano di protezione CSRF (ad esempio uno in un pannello di amministrazione).

    
risposta data 01.09.2014 - 09:57
fonte
5

Do I need to use captcha if I am using AntiForgeryToken in an MVC application?

Un CAPTCHA è un tipo di test challenge-response utilizzato nel calcolo per determinare se l'utente è o meno umano. (...) I CAPTCHA vengono utilizzati per impedire ai robot di utilizzare vari tipi di servizi informatici o di raccogliere determinati tipi di informazioni sensibili. - Wikipedia

Il CSRF (Cross-Site Request Forgery) è un tipo di attacco che si verifica quando un sito Web dannoso, email, blog, messaggio istantaneo o programma fa sì che il browser Web dell'utente esegua un'azione indesiderata su un sito attendibile per il quale il l'utente è attualmente autenticato. - OWASP

Come hai letto, sono entrambi aspetti completamente diversi della sicurezza. E sia i CAPTCHA che la CSRF che la può prevenire è negativa per l'esperienza dell'utente se non implementata correttamente (problemi di usabilità del browser, CAPTCHA difficili da risolvere, ecc.)

Detto questo, penso di aver risposto a tutte le tue domande con questo. Ti suggerisco di controllare le fonti a cui mi sono collegato. Eliminerà la maggior parte, se non, tutte (ulteriori) domande che potresti avere su questo argomento.

    
risposta data 01.09.2014 - 09:38
fonte
0

Ecco le risposte: 1. Sì 2. No 3. No

Un captcha copre un token csrf mancante ma non funziona in senso inverso quindi ovunque sia necessario proteggere l'automazione usa captcha

    
risposta data 01.09.2014 - 10:53
fonte

Leggi altre domande sui tag