Я реализую re-captcha. И мне просто интересно, нужно ли мне потратить некоторое время на внедрение CSRF, или если captcha устраняет необходимость в CSRF protection?Captcha: достаточно ли этого?
0
A
ответ
0
Я не уверен, что CAPTCHA предоставит любой охранник CSRF. CSRF возникает, когда пользователь аутентифицируется с защищенным сайтом, а затем посещает вредоносный сайт, который затем отправляет запросы на безопасный сайт через формы, изображения, AJAX, которые используют это аутентифицированное соединение.
CAPTCHA гарантирует, что кто-то является человеком, обычно для обеспечения того, чтобы комментатор или новый владелец регистрации был человеком, а не ботом. Я никогда не буду полагаться на CAPTCHA для какой-либо безопасности, поскольку боты теперь лучше, чем люди, при чтении некоторых из них.
Смежные вопросы
- 1. Скрыто поле CAPTCHA достаточно безопасно?
- 2. Достаточно ли этого, чтобы обнаружить условия гонки?
- 3. Достаточно ли этого, чтобы избежать xss?
- 4. Достаточно ли этого для предотвращения впрыскивания втулки?
- 5. Этого достаточно для защиты CSRF?
- 6. Достаточно ли достаточно атомной операции
- 7. Этого достаточно для подписи данных?
- 8. Каковы нижние точки этого метода captcha
- 9. Сравните сертификаты SSL через подпись: достаточно ли этого?
- 10. Достаточно ли этого, или у меня есть условия гонки?
- 11. Хеширование паролей: достаточно ли этого для приложения wap?
- 12. GWT RPC - Достаточно ли этого для защиты от CSRF?
- 13. Достаточно ли этого для санитаризации запрошенного пользователем SQL-запроса?
- 14. Простая загрузка файла через HTTP - достаточно ли этого?
- 15. Разложение в java, когда этого достаточно?
- 16. Этого было бы достаточно для описания REST?
- 17. Достаточно ли достаточно билетов на проверку подлинности?
- 18. Достаточно ли достаточно авторизации URL в ASP.NET?
- 19. Проверка подлинности API REST - этого будет достаточно?
- 20. Летучие контрейлерные. Этого достаточно для видимости?
- 21. Этого достаточно, чтобы защитить меня от XSS?
- 22. Проверьте, достаточно ли Integer
- 23. Достаточно ли MVVM LayoutAwarePage?
- 24. Сертификаты: достаточно ли?
- 25. Достаточно ли пакетное обучение?
- 26. Достаточно ли шифрования openSSL?
- 27. Является ли тестирование функциями достаточно?
- 28. Является ли GEF4 достаточно зрелым?
- 29. Captcha Alternative, насколько безопасно?
- 30. Достаточно ли Image Processing Toolbox?
Хорошо, что aswer идеально подходит, большое спасибо –
Captchas * может * предотвратить атаки CSRF, так как жертве потребуется решить Captcha, чтобы согласиться с поддельным запросом злоумышленника. Тем не менее, я бы предпочел реализовать прозрачную защиту CSRF, поскольку решение Captcha для каждого запроса (с побочными эффектами) было бы очень неприятно для пользователя. – Gumbo
@Gumbo А, хороший прецедент, я буду помнить об этом. –