Avrebbe usato Google reCAPTCHA consentire a Google di imbrogliare?

10

Volendo fare un ulteriore passo avanti nella riduzione della superficie di attacco dal mio modulo "registra nuovo utente", penso a utilizzare reCAPTCHA (quello offerto da Google).

Avere i robot risolti da essere in grado di registrarsi e quindi non essere in grado di rompere facilmente il mio sito sembra buono. E per quello che capisco, reCATPCHA aiuta a tenere le cose automatizzate dall'uso del mio modulo di registrazione.

Comunque ho iniziato a chiedermi. Se gli aggressori hanno il consenso di Google (che io uso per determinare l'attaccante "un attaccante è un bot"), allora non sembra che Google reCAPTCHA possa fermare più bot.

In sostanza: se imposto la funzione di reCAPTCHA di Google nel mio sistema di protezione per il mio sito web, verrà protetta solo in modo prolungato

  1. che reCAPTCHA stesso non può rispondere ai bot
  2. Google non consente a qualche bot di imbrogliare.

La mia ipotesi è vera che l'importazione di qualcosa come funzionalità di reCAPTCHA apre già potenziali porte per Google e i loro partner?

Quindi Google reCAPTCHA può essere aggirato da Google, giusto?

Aggiornamento e ulteriori informazioni

L'ipotesi di possibilità di imbroglio possibile con il prodotto reCAPTCHA di Google sembra ancora peggiore ora che so che per farlo funzionare è necessario includere un JavaScript di Google nel tuo sito web. Perfetto per violare potenzialmente la privacy dei dati dei moduli dei tuoi utenti. Almeno se non sbaglio, questo è anche un cambiamento peggiore per l'imbroglio, quindi inizialmente mi preoccupavo di aggirare un attacco bot.

A un'ulteriore occhiata, quando accedi alla StackExchange Q & A rete c'è ancora un altro JavaScript di Google; ajax.googleapis.com è caricato nel sito web. Quindi, se Google voleva imbrogliare ... anche qui ci sono molte possibilità: - (

    
posta humanityANDpeace 12.03.2014 - 10:46
fonte

1 risposta

18

Sì, hai ragione. Gli amministratori che eseguono reCAPTCHA potrebbero richiedere un CAPTCHA dal tuo sito e quindi eseguire una ricerca per vedere quale CAPTCHA è stato generato per il tuo sito e quindi la stringa prevista che viene convalidata.

Il compromesso è che 1) probabilmente sono affidabili a non farlo a causa del potenziale danno alla reputazione se / quando viene catturato e 2), è probabilmente ancora meglio di quanto tu possa implementare.

    
risposta data 12.03.2014 - 10:56
fonte

Leggi altre domande sui tag