Estoy implementando reCaptcha de Google en mi aplicación. Según la documentación , mi solicitud de API debe incluir mi clave secreta y la respuesta, y opcionalmente la dirección IP remota del usuario.
¿Por qué motivos incluiría la IP remota?
Estoy implementando reCaptcha de Google en mi aplicación. Según la documentación , mi solicitud de API debe incluir mi clave secreta y la respuesta, y opcionalmente la dirección IP remota del usuario.
¿Por qué motivos incluiría la IP remota?
Debido a que podría haber un redireccionamiento de DNS / hosts en su lugar para permitir que un usuario malintencionado analice el captcha de manera diferente
Un escenario posible es el cultivo de mano de obra barata para resolver manualmente los captchas y luego enviarlos de vuelta con el formulario. Ya que la recaptcha solo servirá a la imagen una vez que esta sea la forma perezosa de esto. (redirigir la imagen solicitada a otro lugar).
Si la dirección IP que solicita la imagen es diferente a la dirección IP que solicita la página, esto indicaría este tipo de ataque.
En algunos casos, el pasado Google ha rechazado solicitudes sin la IP remota. Más tarde, tomarían cualquier cadena incluyendo una cadena en blanco. Ahora parece opcional. Me imagino que están pidiendo el i.p para ayudar con la seguridad para sus propósitos y para ayudar a prevenir el abuso de la API. Los documentos actuales lo marcan como opcional, así que siéntase libre de omitirlo si lo desea.
Aquí hay una publicación de Grupos de Google de 2010, donde el soporte de Recaptcha implica que el control remoto puede ser obligatorio algún día:
No parece que haya sucedido. pero parece que estaban considerando hacerlo obligatorio al mismo tiempo, y no lo hicieron. Eso es pura especulación de mi parte.
Hay otra razón: muchas redes internas usan recaptcha también - Me gusta en puntos de acceso WiFi, y cosas por el estilo.
En estas circunstancias, Google ve la IP del usuario y del servidor como la misma, ya que comparten la misma conexión. Al proporcionar a Google la IP local del usuario, la máquina de evaluación de riesgos puede realizar un mejor trabajo de seguimiento de las personas que están forzando la selección de imágenes, lo que de lo contrario pondría en una lista negra a TODOS los usuarios.
< papel de aluminio > También Google quiere sus datos, pero no siempre puede justificar por qué < / papel de aluminio >