Quali sono i vantaggi per la sicurezza di reimpostare tutti i campi se captcha non è riuscito?

3

La maggior parte dei siti svuoterà il campo della password quando fallisci il CAPTCHA e spesso reimpostano anche tutti i campi.

Ci sono vantaggi per la sicurezza in questo modo?

    
posta yzT 06.12.2013 - 01:12
fonte

2 risposte

2

Svuotamento del campo password: sì, questa è una funzione standard per tutti gli invii di moduli, non solo quelli in cui è coinvolto l'errore CAPTCHA. Se hai restituito una pagina con la password dell'utente, dovresti preoccuparti che venga salvata nella cache del disco / pagina / bf del browser e venga ripristinata da un successivo accesso al computer client.

Svuotare altri campi: nessun vantaggio di sicurezza contro un utente malintenzionato automatizzato. Dubito che questa sia una misura deliberata. Sospetto che i siti in questione semplicemente non lo considerino una priorità di usabilità per garantire che il modulo venga conservato per la comodità di un utente che ritengono di essere un aggressore. (Possono avere un senso di fiducia gonfiato nel loro CAPTCHA e non pensano che un vero utente fallirà molto spesso.)

    
risposta data 08.12.2013 - 18:57
fonte
0

Dipende da come vengono salvati i dati inizialmente nel modulo.

Supponiamo di avere un modulo in cui hai inserito la tua password. Quando hai inviato questo modulo, hai fallito la verifica captcha.

Che cosa vorresti che l'applicazione Web faccia con la tua password dal modulo iniziale?

In entrambi:

  1. Memorizza la password dal primo passaggio in un modo o nell'altro (tramite il cookie di sessione o archiviata da qualche parte)
  2. Utilizza i dati dalla richiesta post non riuscita e aggiungili al modulo

Entrambe le opzioni mi sembrano abbastanza insicure, e quindi penso che sia molto più semplice ripristinare i campi semplicemente.

    
risposta data 06.12.2013 - 06:19
fonte

Leggi altre domande sui tag