La mayoría de los sitios vaciarán el campo de contraseña cuando fallas en el CAPTCHA, y a menudo también restablecen todos los campos.
¿Hay algún beneficio de seguridad al hacer esto?
Vaciando el campo de la contraseña: sí, esta es una función estándar para todos los envíos de formularios, no solo aquellos en los que se trata el fallo de CAPTCHA. Si devolvió una página con la contraseña del usuario, entonces tendría que preocuparse de que se guarde en el caché del disco / página / bf del navegador y que se recupere con un acceso posterior a la máquina cliente.
Vaciando otros campos: ningún beneficio de seguridad contra un atacante automatizado. Dudo que esto sea una medida deliberada. Sospecho que los sitios en cuestión simplemente no lo consideran una prioridad de uso para garantizar que el formulario se conserve para la comodidad de un usuario que creen que es un atacante. (Es posible que tengan una sensación de confianza inflada en su CAPTCHA y no piensen que un usuario real fallará muy a menudo).
Depende de cómo se guardan los datos inicialmente en el formulario.
Supongamos que tenemos un formulario en el que ingresaste tu contraseña. Cuando enviaste este formulario, fallaste la verificación de captcha.
¿Qué desea que haga la aplicación web con su contraseña desde el formulario inicial?
O bien:
Ambas opciones me parecen bastante inseguras y, por lo tanto, creo que es mucho más seguro simplemente restablecer los campos.
Lea otras preguntas en las etiquetas web-application captcha