Queriendo ir un paso más allá para reducir la superficie de ataque de mi formulario de "registro de nuevo usuario", pienso en usar reCAPTCHA (el que ofrece Google).
Tener bots solucionados de poder registrarme y por lo tanto no poder romper mi sitio web fácilmente parece bueno. Y a mi entender, reCATPCHA ayuda a evitar que las cosas automatizadas utilicen mi formulario de registro.
De todos modos empecé a preguntarme. Si los atacantes tenían el consentimiento de Google (que uso para determinar el atributo "el atacante es un bot"), no parece que Google reCAPTCHA pueda detener a los bots más.
Esencialmente: si importo la función reCAPTCHA de Google en mi sistema de protección para mi sitio web, solo protegeré contra la extensión
- que reCAPTCHA en sí no se puede responder mediante bots
- Google no permite que algún bot haga trampa.
¿Supongo que al importar algo como funcionalidad reCAPTCHA ya se abren puertas potenciales para Google y sus socios?
Por lo tanto, Google puede pasar por alto a reCAPTCHA, ¿no?
Actualización y más información
La posibilidad de que se haga trampa con el producto reCAPTCHA de Google parece aún peor ahora que sé que para que funcione, realmente necesita incluir un JavaScript de Google en su sitio web. Perfecto para infringir potencialmente la privacidad de los datos del formulario de sus usuarios. Al menos, si no estoy equivocado, este es un cambio aún peor para las trampas, entonces la preocupación inicial que tenía sobre eludir un ataque de robot.
Más adelante, cuando inicie sesión en StackExchange P & una red allí es otro Google JavaScript; ajax.googleapis.com se carga en el sitio web. Entonces, si Google quisiera engañar ... incluso aquí hay muchas posibilidades :-(