нужна ли капча после входа в систему?

Question

Хотелось бы узнать ...

Бесполезно устанавливать капчу и другие средства защиты от спама для отправки из защищенной точки в веб-приложении, не так ли? Я имею в виду, что для перехода на страницу, на которой вам необходимо войти, эта страница недоступна для ботов.

Я прав?

EDIT:

Поскольку большинство людей ответили, что это неправда, если кто-то сначала войдет в систему вручную, а затем научит учетную запись боту, я прокомментирую вам ответ здесь:

1. Если кто-то потратил время, чтобы войти в систему вручную, он мог бы также сделать спам вручную, без необходимости бота. И в случае, если весь спам исходит от пользователя, который только производит спам. так будет легко избавиться от его спама.
2. Мои приложения очень маленькие для внутреннего использования, поэтому маловероятно, что кто-то будет заниматься ручным спамом.

Answer 1

Это не правда. После того, как вы вошли в систему, ваши куки могут быть украдены. Взгляните, например, на firesheep . Если ваша машина заражена (или машина в вашей локальной сети), она может использоваться ботом для использования ваших файлов cookie и выполнения операций с проверкой подлинности в активном сеансе входа в систему.

Если кто-то потратил время, чтобы войти в систему вручную, он мог бы также сделать спам вручную, без необходимости бота. И в случае, если весь спам исходящий от пользователя, который только производит спам. так будет легко достать избавиться от спама.

Дело не в этом, по крайней мере, в том, что касается моего ответа. Если ваши куки были украдены, бот malicoius, выполняющий атаку, не должен входить в систему, потому что вход в систему уже произошел. Единственное, что бот должен делать в этом сценарии:

1. контролировать уязвимый компьютер, пока не будет выполнен вход в систему.
2. Украл печенье с зарегистрированного компьютера.
3. Начать спамить.

Answer 2

Я прав?

Не обязательно - ведь вы могли бы научить бота входить в систему, а затем совершать всевозможные разрушения внутри.

Вот почему такие сайты, как Stack Overflow, по-прежнему показывают капчу даже для самых доверенных пользователей.

Вопрос по теме Meta.SO: https://meta.stackexchange.com/questions/3346/why-is-captcha-for-higher-rep-users-even-necessary

Answer 3

Итак, весь смысл капчи в том, чтобы боты не заходили на ваш сайт и не публиковали комментарии и т. Д. В первую очередь.

Если бот находится на вашем сайте, это будет означать одно из нескольких:

1. Бот каким-то образом получил доступ к имени пользователя и паролю

2. Боту удалось пройти через Captcha при входе в систему, а также есть имя пользователя и пароль

Так что нет, использование Captcha на вашем веб-сайте не является хорошей идеей, если пользователь не получает доступ к потенциально защищенной информации, такой как банковские реквизиты и т. Д. Но если это проблема, возможно, было бы лучше заставить его повторно ввести пароль а не использовать капчу.

Answer 4

Нет, не бесполезно. Немного утомительно для реальных людей, но всегда полезно периодически проверять, что «пользователь» на самом деле все еще человек, а не бот. В конце концов, настоящий человек может пройти проверку входа в систему, а затем передать сеанс входа в систему боту, который затем может весело спамить ваш сайт. Периодическая проверка капчи на сайте остановит (или, по крайней мере, остановит) этого бота, пока его человек не сможет заполнить капчу.