¿Hay algo inseguro acerca de Google ReCaptcha?

Navega tus respuestas
28

En esta pregunta sobre recomendaciones de software, el OP solicita una alternativa a Google reCAPTCHA porque "por razones de seguridad, tampoco queremos depender de ningún servicio externo".

Por lo que sé, le pide a Google un CAPTCHA, lo muestra y envía la información del usuario a Google, quien le informa si la información fue correcta o no.

¿Dónde está la posible inseguridad?

No es como que envías a Google el inicio de sesión del usuario, la contraseña, d.b.b, el número de cuenta bancaria o cualquier otra información confidencial.

Supongo que un atacante verdaderamente determinado podría usar un ataque de hombre en el medio, pero ¿por qué? Los CAPTCHA se usan generalmente para demostrar que no eres un bot y no como credenciales de inicio de sesión.

¿Me estoy perdiendo algo? ¿Es correcto que el OP se preocupe o solo va a causar un montón de trabajo extra, posiblemente al intentar implementar su propio sistema que cree que es más seguro que el de Google porque ... la seguridad a través de la oscuridad?

    
pregunta Mawg 28.09.2015 - 14:35
fuente

3 respuestas

55

Bueno, podría haber un par de preocupaciones:

  • Denegación de servicio: en caso de que el sistema reCaptcha de Google se caiga, es probable que los usuarios ya no puedan autenticarse. Esto también podría suceder si implementan algún tipo de actualización, lo que rompe todo el sistema.
  • Bibliotecas de JavaScript externas: cuando utilice Google reCaptcha, debe incluir algunas bibliotecas de JS . En el caso de que Google quiera ejecutar algún ataque XSS, se lo habrá facilitado mucho.
  • Seguimiento: cualquier persona que haga clic en el "consentimiento" de reCaptcha para ser rastreado por Google . Esto puede afectar la privacidad de su usuario, así como proporcionar un medio para que Google rastree el tráfico en su sitio web.

Sin embargo, como se menciona en esta respuesta , probablemente se preocupan más por su reputación que por comprometer su sitio web. Aunque dudo que cuando se trata de la preocupación de 'seguimiento'.

    
respondido por el Michael 28.09.2015 - 14:42
fuente
9

De la pregunta del OP no queda claro, pero es posible que, por razones de seguridad, todo el sistema no pueda comunicarse con redes de terceros. El OP puede desear tener un sistema que pueda implementar en el lado del servidor porque el servidor, y potencialmente los clientes también, no pueden conectarse a Google, o en cualquier otro lugar de Internet. Los beneficios de seguridad de no estar conectado a Internet cuando no necesita estarlo son ampliamente conocidos.

    
respondido por el Dezza 28.09.2015 - 16:59
fuente
3

Según blog de Egor Homakov :

  1. Google reCAPTCHA se basa en una lista blanca basada en su comportamiento anterior en línea (cookies) que no dificulta la tarea de los bots ya que todavía está disponible el flujo heredado y los antiguos bots OCR pueden seguir reconociendo el antiguo CAPTCHA.
  2. La sustitución del procedimiento tradicional desafío / respuesta por esta cookie en la lista blanca hace que todo el servicio sea vulnerable a los ataques a través de clickjacking .
respondido por el user45139 28.09.2015 - 21:22
fuente

Lea otras preguntas en las etiquetas

¿Alguna tecnología impide que una CA revoque un certificado de forma unilateral? ¿Por qué no se pueden modificar los protocolos en las capas más altas?