AntiForgeryToken versus Captcha

10

Tengo una pregunta relacionada con captcha y AntiForgeryToken

  1. ¿Necesito usar captcha si estoy usando AntiForgeryToken en una aplicación MVC?
  2. ¿ AntiForgeryToken evita el envío automático de formularios?
  3. ¿Puedo usar AntiForgeryToken como alternativa a captcha ?
pregunta Twix 01.09.2014 - 09:19
fuente

3 respuestas

13

Para responder un poco más explícitamente:

  

¿Debo usar captcha si uso AntiForgeryToken en un MVC?   aplicación.

Si los envíos automáticos son un problema, entonces sí.

  

¿AntiForgeryToken impide el envío automático de formularios?

No. Un token CSRF básicamente garantiza que un usuario visite una página (por ejemplo, la que contiene el formulario) antes de que se lleve a cabo otra acción (por ejemplo, se envió ese formulario). Un bot podría obtener fácilmente un token válido para enviar un formulario.

  

¿Puedo usar AntiForgeryToken como alternativa a captcha?

No. Podría decirse que un CAPTCHA podría reemplazar un token CSRF pero un CAPTCHA probablemente no sea práctico en todas las formas que necesitan protección CSRF (por ejemplo, una en un panel de administración).

    
respondido por el thexacre 01.09.2014 - 09:57
fuente
5
  

¿Necesito usar captcha si uso AntiForgeryToken en una aplicación MVC?

Un CAPTCHA es un tipo de prueba de desafío-respuesta que se usa en la computación para determinar si el usuario es humano o no. (...) Los CAPTCHA se utilizan para evitar que los robots utilicen varios tipos de servicios informáticos o recopilen ciertos tipos de información confidencial. - Wikipedia

La falsificación de solicitudes entre sitios (CSRF, por sus siglas en inglés) es un tipo de ataque que ocurre cuando un sitio web, correo electrónico, blog, mensaje instantáneo o programa malicioso hace que el navegador web de un usuario realice una acción no deseada en un sitio de confianza para el cual El usuario está actualmente autenticado. - OWASP

Como has leído, ambos son aspectos de seguridad completamente diferentes. Y tanto la prevención de CAPTCHA como la de prevención de CSRF pueden ser perjudiciales para la experiencia del usuario si no se implementa correctamente (problemas de uso del navegador, CAPTCHA difíciles de resolver, etc.).

Dicho esto, creo que he respondido a todas sus preguntas con esto. Le sugiero que consulte las fuentes a las que he vinculado. Eliminará la mayoría, si no, todas las preguntas (adicionales) que pueda tener con respecto a este tema.

    
respondido por el Kid Diamond 01.09.2014 - 09:38
fuente
0

Aquí están las respuestas: 1. si 2. No 3. No

Un captcha cubre un token de csrf faltante, pero no funciona al revés, por lo que siempre que necesite protegerse contra la automatización, use captcha     

respondido por el Shpend 01.09.2014 - 10:53
fuente

Lea otras preguntas en las etiquetas