Quanto è affidabile / sicuro QCaptcha?

Ecco come funziona QapTcha:

1. Il JS crea un campo di input nascosto e lo popola con un valore casuale.
2. Quando l'utente trascina con successo, il JS pubblica quel valore casuale in uno script PHP e cancella il valore dal modulo. Quindi crea un input nascosto il cui nome è il valore casuale.
3. Lo script PHP verifica che una variabile di sessione non sia stata impostata e che il valore casuale sia stato pubblicato e imposta la variabile di sessione sul valore casuale.
4. Quando l'utente invia il modulo, lo script verifica che esista l'input nascosto denominato in modo casuale.

Si tratta di una sorta di trucco accurato, poiché sfrutta il fatto che la maggior parte dei robot compilano rapidamente il modulo e non analizzano / eseguono JavaScript.

Tuttavia, è relativamente semplice da bypassare: limitiamo completamente la funzionalità di QapTcha. Per prima cosa prendiamo l'HTML della pagina. Quindi, inviamo un POST allo script PHP di inizializzazione, contenente il valore casuale. Infine, inviamo il POST con il set di campi vuoti casuali. Bam!

Questo è in qualche modo un captcha di sicurezza attraverso l'oscurità, perché qualsiasi bot che ne sia a conoscenza può ignorarlo. Tuttavia, è ragionevolmente sicuro presumere che interromperà la maggior parte degli attacchi "drive-by" non mirati, fino a quando QapTcha sarà abbastanza prevalente da risultare valido per gli sviluppatori di bot.

Un'estensione di questa idea è il captcha di interazione utente zero, che, invece di testare l'utente, testa il browser. Verifica se il browser può utilizzare correttamente JavaScript, Flash, CSS, ecc. E sondaggi per il movimento del mouse e le pressioni della tastiera. Questi dati vengono inviati con il POST del modulo, quindi analizzati. Per ogni test superato, il punteggio aumenta. Se il punteggio non raggiunge una soglia minima, viene intrapresa un'azione, ad es. bloccare l'azione, posizionare nella coda di moderazione, presentare con un'immagine captcha, ecc. C'è anche un trucco usando CSS dove una casella di input è ordinata da z dietro altri elementi, che un utente non riempirebbe mai, ma un bot lo farebbe. Lì è un esempio funzionante di questo schema da qualche parte , che qualcuno ha presentato in un discorso qualche anno fa, ma non riesco a trovarlo in questo momento.