Volendo fare un ulteriore passo avanti nella riduzione della superficie di attacco dal mio modulo "registra nuovo utente", penso a utilizzare reCAPTCHA (quello offerto da Google).
Avere i robot risolti da essere in grado di registrarsi e quindi non essere in grado di rompere facilmente il mio sito sembra buono. E per quello che capisco, reCATPCHA aiuta a tenere le cose automatizzate dall'uso del mio modulo di registrazione.
Comunque ho iniziato a chiedermi. Se gli aggressori hanno il consenso di Google (che io uso per determinare l'attaccante "un attaccante è un bot"), allora non sembra che Google reCAPTCHA possa fermare più bot.
In sostanza: se imposto la funzione di reCAPTCHA di Google nel mio sistema di protezione per il mio sito web, verrà protetta solo in modo prolungato
- che reCAPTCHA stesso non può rispondere ai bot
- Google non consente a qualche bot di imbrogliare.
La mia ipotesi è vera che l'importazione di qualcosa come funzionalità di reCAPTCHA apre già potenziali porte per Google e i loro partner?
Quindi Google reCAPTCHA può essere aggirato da Google, giusto?
Aggiornamento e ulteriori informazioni
L'ipotesi di possibilità di imbroglio possibile con il prodotto reCAPTCHA di Google sembra ancora peggiore ora che so che per farlo funzionare è necessario includere un JavaScript di Google nel tuo sito web. Perfetto per violare potenzialmente la privacy dei dati dei moduli dei tuoi utenti. Almeno se non sbaglio, questo è anche un cambiamento peggiore per l'imbroglio, quindi inizialmente mi preoccupavo di aggirare un attacco bot.
A un'ulteriore occhiata, quando accedi alla StackExchange Q & A rete c'è ancora un altro JavaScript di Google; ajax.googleapis.com è caricato nel sito web. Quindi, se Google voleva imbrogliare ... anche qui ci sono molte possibilità: - (