¿El uso de Google reCAPTCHA permitiría a Google hacer trampa?

10

Queriendo ir un paso más allá para reducir la superficie de ataque de mi formulario de "registro de nuevo usuario", pienso en usar reCAPTCHA (el que ofrece Google).

Tener bots solucionados de poder registrarme y por lo tanto no poder romper mi sitio web fácilmente parece bueno. Y a mi entender, reCATPCHA ayuda a evitar que las cosas automatizadas utilicen mi formulario de registro.

De todos modos empecé a preguntarme. Si los atacantes tenían el consentimiento de Google (que uso para determinar el atributo "el atacante es un bot"), no parece que Google reCAPTCHA pueda detener a los bots más.

Esencialmente: si importo la función reCAPTCHA de Google en mi sistema de protección para mi sitio web, solo protegeré contra la extensión

  1. que reCAPTCHA en sí no se puede responder mediante bots
  2. Google no permite que algún bot haga trampa.

¿Supongo que al importar algo como funcionalidad reCAPTCHA ya se abren puertas potenciales para Google y sus socios?

Por lo tanto, Google puede pasar por alto a reCAPTCHA, ¿no?

Actualización y más información

La posibilidad de que se haga trampa con el producto reCAPTCHA de Google parece aún peor ahora que sé que para que funcione, realmente necesita incluir un JavaScript de Google en su sitio web. Perfecto para infringir potencialmente la privacidad de los datos del formulario de sus usuarios. Al menos, si no estoy equivocado, este es un cambio aún peor para las trampas, entonces la preocupación inicial que tenía sobre eludir un ataque de robot.

Más adelante, cuando inicie sesión en StackExchange P & una red allí es otro Google JavaScript; ajax.googleapis.com se carga en el sitio web. Entonces, si Google quisiera engañar ... incluso aquí hay muchas posibilidades :-(

    
pregunta humanityANDpeace 12.03.2014 - 10:46
fuente

1 respuesta

18

Sí, tienes razón. Los administradores que ejecutan reCAPTCHA podrían solicitar un CAPTCHA desde su sitio y luego realizar una búsqueda para ver qué CAPTCHA se generó para su sitio y, por lo tanto, la cadena esperada que valida.

La compensación es que 1) es probable que sean dignos de confianza para no hacer esto debido al posible daño a la reputación si / cuando se detecta y 2), aún así es mejor de lo que podrías implementar.

    
respondido por el deed02392 12.03.2014 - 10:56
fuente

Lea otras preguntas en las etiquetas