Webprogramozásban miről árulkodik egy belépőoldal esetében a "re-chapta" védelem? Mi az átfogó vélemény erről?

Ha a “szerver vedelme spamek es botok ellek” az a “bena a szerver” kategoriaba esik, akkor az a helyes megoldas.

A “bankok nem is hasznaljak” megmosolyogtato. A bankok honlapjan jellemzoen nem lehet regisztralni, a recaptchat pedig foleg az ilyen (vagy egyeb adatbazis iro) feluleteken hasznaljak. Tovabba szinte biztos vagyok benne hogy a bankokra vonatkozik valamilyen szabalyozas ami miatt nem is hasznalhatnak a recaptchat. (Gondold el, konkret statisztikat kuldesz a Googlenek hogy kik az ugyfeleid es mennyit bankolnak?)

"Ott van bármelyik banki oldal"

Ahol én bankolok ott pl. nincs

Hiányzik egy válasz: „Indokolható, normális a létezése.”

Mondjuk van egy nagyobb látogatótáborral rendelkező oldalad. Nyilván előbb-utóbb jönni fognak botok, akik random generált felhasználónevekkel illetve e-mail címekkel és a leggyakoribb jelszavakkal próbálnak belépni. Az IP manapság nem elég jó alap, hogy kezeld a problémát, vannak komplett falvak, munkahelyek, kollégiumok NAT-on keresztül ugyanazzal az IP-vel lógnak a neten, ha „kibannolod” az IP-t, akkor egy csomó felhasználót zártál ki indokolatlanul. Jön Béla bácsi és nem tud belépni, mert a faluban Pistike nekiállt bénán hackerkedni.

Lehet még trükközni, pl. javascripttel utólag belecsempészni egy rejtett mezőt a bejelentkező űrlapba, aminek a meglétét aztán lehet szerver oldalon vizsgálni. A butább botokat le lehet szerelni vele. De egy célirányos támadás ellen – ahol egy ember megvizsgálta az oldalad működését, tudja, hogy létezik ilyen mechanizmus és tudja azt automatizálni – ez sem véd.

A reCAPTCHA azért jó, mert annak a védelmén tényleg csak a CAPTCHA megoldásával lehet átverekednie magát valakinek. Mivel elég alaposan tesztelve van ez a védelem, így kellően erős is ahhoz, hogy még kellő tudás és kapacitás mellett sem kerülhető meg. Az újabb változatoknál már nem is feltűnő, mert csak akkor kell CAPTCHA jellegű feladatot megoldani, ha már gyanús tevékenységet észlelt, a normál felhasználás mellett sokaknak észrevétlen marad. (Hogy most egy honlapon még egy régebbi implementáció van fenn, az meg a honlap készítőjének tudásáról nem sokat mond el, ha a megrendelő nem kérte a honlap karbantartását, folyamatos fejlesztését, az nem a honlapkészítő hibája.)

Ami meg a bankokat illeti, ott általában kétfaktoros azonosítást használnak. A kétfaktoros azonosítás ugyan szép és jó, de egy kevésbé kardinális feladatot megvalósító honlapnál azért ágyúval verébre esete lenne. Meg – megvalósítási módtól függően – nyilván annak lehetnek komolyabb költségei is.