it-swarm.com.de

Gibt es etwas Unsicheres an Google ReCaptcha?

In diese Frage zu Softwareempfehlungen fragt das OP nach einer Alternative zu Google reCAPTCHA, weil "aus Sicherheitsgründen auch wir nicht von externen Diensten abhängig sein wollen".

Soweit ich weiß, fragen Sie Google nach einem CAPTCHA, zeigen es an und senden die Eingaben des Nutzers an Google, das Ihnen mitteilt, ob die Eingabe korrekt war oder nicht.

Wo ist die mögliche Unsicherheit?

Es ist nicht so, dass Sie Google das Login des Nutzers, das Passwort, die Datenbank, die Bankkontonummer oder andere vertrauliche Informationen senden.

Ich nehme an, dass ein wirklich entschlossener Angreifer einen Man-in-the-Middle-Angriff gebrauchen könnte, aber warum? CAPTCHAs werden im Allgemeinen verwendet, um zu beweisen, dass Sie kein Bot und keine Anmeldeinformationen sind.

Vermisse ich etwas Ist es richtig, dass das OP besorgt ist, oder wird er sich nur eine Menge zusätzlicher Arbeit zufügen, möglicherweise indem er versucht, sein eigenes System zu implementieren, das er für sicherer hält als das von Google, weil ... Sicherheit durch Dunkelheit?

Nun, es könnte ein paar Bedenken geben:

  • Denial-of-Service: Falls das Google reCaptcha-System ausfällt, können sich Ihre Nutzer wahrscheinlich nicht mehr authentifizieren. Dies kann auch passieren, wenn sie eine Art Update implementieren, das das gesamte System beschädigt.
  • Externe JavaScript-Bibliotheken: Wenn Sie Google reCaptcha verwenden, müssen Sie einige JS-Bibliotheken einschließen. Für den Fall, dass Google einen XSS-Angriff ausführen möchte, haben Sie es ihnen gerade viel einfacher gemacht.
  • Tracking: Jeder, der durch die reCaptcha klickt, stimmt zu wird von Google verfolgt . Dies kann sich auf die Privatsphäre Ihrer Nutzer auswirken und Google die Möglichkeit bieten, den Verkehr auf Ihrer Website zu verfolgen.

Wie in diese Antwort erwähnt, kümmern sie sich wahrscheinlich mehr um ihren Ruf als um die Beeinträchtigung Ihrer Website. Obwohl ich das bezweifle, wenn es um das Thema "Tracking" geht.

57
Michael

Aus der Frage des OP geht nicht hervor, aber es ist möglich, dass das gesamte System aus Sicherheitsgründen nicht mit Netzwerken von Drittanbietern kommunizieren kann. Das OP wünscht sich möglicherweise ein System, das es serverseitig implementieren kann, da der Server und möglicherweise auch die Clients keine Verbindung zu Google oder einem anderen Ort im Internet herstellen können. Die Sicherheitsvorteile, wenn Sie nicht mit dem Internet verbunden sind, wenn Sie dies nicht müssen, sind allgemein bekannt.

9
Dezza

Laut Egor Homakovs Blog :

  1. Google reCAPTCHA stützt sich auf eine Whitelist, die auf Ihrem vorherigen Online-Verhalten (Cookies) basiert. Dies macht die Aufgabe für Bots nicht schwierig, da der Legacy-Flow noch verfügbar ist und alte OCR-Bots die alte weiterhin erkennen können CAPTCHA.
  2. Das Ersetzen des traditionellen Challenge/Response-Verfahrens durch diese Cookie-Whitelist macht den gesamten Dienst anfällig für Angriffe über Clickjacking .
3
user45139