Captcha / token przy logowaniu do serwisu, Za i przeciw Opcje

[thomson89]

Witam,

Proste pytanie: czy captcha przy logowaniu jest niezbędna, lub potrzebna? Rozumiem, że przy rejestracji powinna być, ale czy przy logowaniu? Jeżeli jest niezbędna, lub potrzebna, to dlaczego?

Pozdrawiam!

[LBO]

Przy logowaniu nie trzeba dodawać captchy, z prostego i logicznego powodu - tylko zarejestrowany użytkownik ma po co się logować, a ty teoretycznie przesiałeś boty od realnych userów na etapie rejestracji.

Na logowanie, ewentualnie, założyłbym jakieś ograniczenie na ilość prób, coby nikt nie chciał się bruteforcem włamać.

[everth]

Możesz zastosować podobną filozofię jak Gmail - po parokrotnym (2, 3 razy) błędnym podaniu danych z danego IP wymagają podania captcha. Prawdopodobnie zabezpiecza ich to przed atakiem brute-force.

[nospor]

no i zacznijmy od tego po co w ogóle captcha? Jest tyle innych przyjemnych metod, niektóre nawet nie inwazyjne dla uzytkownika

[thomson89]

Jakie np. ~nospor?

~everth - tak wiem, ale nie wpadłem na to by to u siebie zastosować

[bim2]

Choćby liczenie, czy rozpoznawanie zwierzęcia. Mi się podobało też coś na zasadzie przepisz wspak, albo wpisz co drugą literę, gdzie tekst był wyraźny

[strife]

no i zacznijmy od tego po co w ogóle captcha? Jest tyle innych przyjemnych metod, niektóre nawet nie inwazyjne dla uzytkownika

Ja kiedyś zrobiłem zabezpieczenie polegające na dodaniu do formularza jednego pola js'em, które było wymagane przy walidacji i tyle.

[bim2]

Ja kiedyś zrobiłem zabezpieczenie polegające na dodaniu do formularza jednego pola js'em, które było wymagane przy walidacji i tyle.

Tutaj właśnie trzeba rozróżniać. Czy zabezpieczamy się przed masowymi botami spamującymi, czy może przed botem pisanym konkretnie na naszą aplikację Bo z tym drugim chyba też walczyć bezpośrednio obrazkami.

[Fifi209]

czy może przed botem pisanym konkretnie na naszą aplikację Bo z tym drugim chyba też walczyć bezpośrednio obrazkami.

Jeżeli ktoś pisze bota pod naszą aplikację a jest doświadczony w tym co robi nie mamy ŻADNYCH ale to ŻADNYCH szans, aby obronić się przed takim atakiem.
Na nic tutaj zabezpieczenia etc.

Wystarczy, że zaloguję się w przeglądarce, cookie skopiuję do skryptu, wszystkie nagłówki i sesję utrzymam. Musiałbyś to captcha walić co przeładowanie strony.

[everth]

@fifi209 przy założeniu że znasz hasło i login (czyli właściwie jesteś uwierzytelniony) to żadne zabezpieczenia (poza czasową ważnością) nie mają sensu. Chyba że chcesz zniechęcić każdego do korzystania z usług serwisu. Tu chodzi o przełamanie zabezpieczeń za pomocą brute-force, czy ataku słownikowego. Bot może przeprowadzić na niezabezpieczonej stronie logowania tysiące takich ataków, aż w końcu je przełamie (biorąc pod uwagę idiotyzm niektórych haseł jest to prawie pewne).
Poza tym co do sesji - można próbować się zabezpieczyć dokładając ciasteczko z sumą kontrolną po IP i konfiguracji przeglądarki (browser fingerprint). Ale to też da się to ominąć.

@strife - fajne, ma tylko jedną zasadniczą wadę - odrzuca przeglądarki z wyłączonym JSem, lub takie które ten skrypt zablokowały (nie wspominam Lynxa, bo kto go jeszcze dzisiaj stosuje )

@bim2 - metoda z liczeniem jest także łatwa do obejścia, zwłaszcza jeśli bot został dostosowany do naszej strony.

Dobra captcha nie jest zła . Wszystkie pomysły żeby nie stosować tekstu w obrazku również mają zasadniczą wadę - treść powinna być maksymalnie jednoznaczna dla człowieka. Czyli ty rozpoznasz na obrazku żółwia, ktoś inny żółwika a jeszcze ktoś h*ja. Obrazki są też zależne od kontekstu kulturowego w jakim dana osoba się obraca.
Dlatego stosuje się przekształcone ciągi tekstowe - analfabetów w internecie raczej nie uświadczysz (może poza wtórnymi ). Fajny artykuł o technikach captcha popełnił kiedyś porneL.