La maggior parte dei siti svuoterà il campo della password quando fallisci il CAPTCHA e spesso reimpostano anche tutti i campi.
Ci sono vantaggi per la sicurezza in questo modo?
Svuotamento del campo password: sì, questa è una funzione standard per tutti gli invii di moduli, non solo quelli in cui è coinvolto l'errore CAPTCHA. Se hai restituito una pagina con la password dell'utente, dovresti preoccuparti che venga salvata nella cache del disco / pagina / bf del browser e venga ripristinata da un successivo accesso al computer client.
Svuotare altri campi: nessun vantaggio di sicurezza contro un utente malintenzionato automatizzato. Dubito che questa sia una misura deliberata. Sospetto che i siti in questione semplicemente non lo considerino una priorità di usabilità per garantire che il modulo venga conservato per la comodità di un utente che ritengono di essere un aggressore. (Possono avere un senso di fiducia gonfiato nel loro CAPTCHA e non pensano che un vero utente fallirà molto spesso.)
Dipende da come vengono salvati i dati inizialmente nel modulo.
Supponiamo di avere un modulo in cui hai inserito la tua password. Quando hai inviato questo modulo, hai fallito la verifica captcha.
Che cosa vorresti che l'applicazione Web faccia con la tua password dal modulo iniziale?
In entrambi:
Entrambe le opzioni mi sembrano abbastanza insicure, e quindi penso che sia molto più semplice ripristinare i campi semplicemente.
Leggi altre domande sui tag captcha web-application