Tárhelyszakértő

Kell-e a weboldaladnak a captcha?

2015. január 16. - Tamás Lászlók

captcha.pngHa weboldalt indítunk, nem csak annak népszerűvé tételére, de védelmére is gondolnunk kell. Az adathalászat napjainkban az egyik olyan támadási mód, amely ellen mindenképpen védekeznünk kell - de szerencsére egy igen egyszerű és hatékony módszer áll rendelkezésünkre.

Ez pedig a captcha, amellyel biztosan mind találkoztunk már. Ha fel kellene frissíteni, mi is ez: a látogatónak, aki valamilyen műveletet hajt végre az oldalon egy képet mutatunk, rajta torzított karakterekkel, amelyet be kell írnia a mezőbe. Ennek célja, hogy embert a robottól megkülönböztethessük, mivel a gépi képfelismerő rendszerek (egyelőre) nem olyan hatékonyak, mint az emberé.

A neten számtalan robot tevékenykedik, amelyek egyetlen célja az egyébként valamilyen szempontból védett adatokhoz való hozzáférés. Lehetnek ezek felhasználói adatok, belső céges információk vagy adatbázisok – ha nem védekezünk ellenük megfelelően, belső rendszerünk kompromittálódhat. Használhatjuk ezt a módszert felhasználó regisztrálásakor, vásárláskor vagy bármilyen interaktív cselekvésnél a weboldalon.

Turing nyomán

Biztosra kell persze mennünk, hogy az emberek mindenképpen sikerrel vegyék az akadályt, sőt – a lehető legegyszerűbben juthassanak át rajta, pillanatok alatt. Ha nehézségeket gördítünk a felhasználó elé, az frusztrálttá teheti, elriaszthatja, így egy túlságosan bonyolult, kiolvashatatlan captcha is.

Éppen ezért be kell építenünk biztonsági mechanizmusokat – lehetővé kell tennünk, hogy szükség esetén új kódot kérjen a felhasználó, ha elrontja azt, újra próbálkozhasson. Ezzel persze a robotnak is több esélyt adunk, de az esélyeink még is nagyságrendekkel jobbak. Megjeleníthetünk akár több captchát is egyszerre, amelyek könnyebben olvashatóak, de a felhasználónak egy bizonyosat kell beírnia közülük. A lényeg, hogy meghaladjuk az automatikusan működő botok képességeit.

Így védekezhetünk az adathalászok, belső rendszerünkhöz illetéktelenül hozzáférni kívánók ellen, de jó esetben akár a rendszer elleni túlterheléses támadásoknak is elejét vehetjük. Ha olyan weboldalt üzemeltetünk, amely rendelkezik belső rendszerrel, regisztrálni lehet rajta vagy éppen e-mail listára feliratkozni, a captcha egy olyan opció a biztonság növelésére, amelyet mindenképpen érdemes kihasználnunk.

A bejegyzés trackback címe:

https://tarhelyszakerto.blog.hu/api/trackback/id/tr737276065

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

pythonozok · http://visszabeszelo.blog.hu 2015.04.02. 10:21:33

Két kérdés:
- mi köze a captcha-nak az adathalászathoz? Szerintem semmi. Csak arra való, hogy automatikusan eldönthető legyen, ember vagy gép van a drót másik végén.
- a "Turing" utáni szakaszt bemagoltad vagy csak kimásoltad valahonnan?

NM Dani 2015.04.02. 12:23:15

@pythonozok: A captcha abban segít, hogy bizonyos tartalmakat elrejtsünk azok elől a botok elől, amelyek a netet járva adatokat gyűjtenek, adatbázisokat építenek - például mailcímeket. Egy captcha által megakadáyozhatjuk, hogy a bot bejusson egy fórumra, kitöltsön egy űrlapot, összességében olyan tartalomhoz férjen hozzá, amelyről nem szeretnénk, ha phishing áldozatává válna. De védelmet nyújthat a jelszó-kitaláló támadások vagy túlterheléses támadások ellen is (bizonyos mértékig).
Azzal, hogy eldöntjük, ember vagy drón van-e a túlfélen, kiszűrjük az adathalász botokat is, melyekből megszámlálhatatlan dolgozik folyamtosan a neten.
A bejegyzés második felével kapcsolatos kérdést nem értem. De ha rákeresel, bármely mondatrészre, láthatod, hogy csak a Netmasters saját blogján szerepel ezen kívül. Mit kellett volna ezen bemagolni? :)

pythonozok · http://visszabeszelo.blog.hu 2015.04.02. 12:39:02

@NM Dani: a captcha csak abban segít, hogy ember vagy gép akivel társalogsz. Adathalászat... az nálam részben mást jelent. Bocs, mobilon vagyok, nehéz részletezni. Majd a nagygépről.

"Biztosra kell persze mennünk, hogy az emberek mindenképpen sikerrel vegyék az akadályt, sőt – a lehető legegyszerűbben juthassanak át rajta, pillanatok alatt. Ha nehézségeket gördítünk a felhasználó elé, az frusztrálttá teheti, elriaszthatja, így egy túlságosan bonyolult, kiolvashatatlan captcha is." - ezt évekkel ezelőtt olvastam valahol, szerintem 1:1-ben ezekkel a szavakkal megfogalmazva. Lehetséges helyek: wiki, prog.hu, weblabor.hu.

VPS Olivaw 2015.04.02. 13:06:58

@pythonozok: Az adathalászatnak számos formája ismert, de a botokkal történő automatikus adatgyűjtés is beletartozik, nem csak a kamu e-mailek, kamu weboldalak és hasonlók. Várom a kifejtést. :)

1:1-ben kizárt, saját szöveg. Hasonló tartalmút, értelműt, akár megfogalmazásút is persze simán olvashattál már máshol, nem új a téma, hogy még csak mi írtunk volna róla. :) Egyébként 99%-százalékban külföldi forrásokból dolgozunk, bejegyzésenkként akár egy tucatból is (ez itt persze rövidebb, de nézz szét), a saját tartalom mellett persze. Nem sok értelme volna, ha copy&paste bejegyzésekkel traktálnánk a közönséget.

pythonozok · http://visszabeszelo.blog.hu 2015.04.02. 13:35:51

@VPS Olivaw:

"nehézségeket gördítünk a felhasználó elé, az frusztrálttá teheti, elriaszthatja" - ezt anno szó szerint sikerült megjegyeznem, csak ezért emlékszem rá. Végső soron az sem zárható ki, hogy a weblaboron volt egy blogmark hozzátok. (nem a teljes szövegre gondoltam egyébként, hanem az idézett bekezdésre)

Hát igen... szóval az adathalászat nálam a "bank support kér jelszó, hogy segítsen szolgáltatás helyreállítás" típusú e-mailekkel kezdődik. Azt, amikor publikus oldalakról leszednek infókat, nem sorolnám ide. (vagy ilyen alapon: a google/yahoo/bing/etc... is adathalászatot folytatnak?)
Ezen felül a captcha nem véd a "pici kínai dógozóktól", akik pl. a google translate segítségével megfejtik a feladványt, ha nem valami valós captcha-t tolsz az arcukba. Ha meg hagyományos captcha, akkor úgyis felismerik, mi az. És máris ott a regisztrált user a botok számára. (ezt sokszor láttam már élőben :( ) Adathalászatot (pontosabban azt a tevékenységet, amit te így nevezel) nem sikerült megakadályozni vele. Megjegyzem, amennyire én látom, ezek a botok inkább spammelésre használatosak, nem adatgyűjtésre.
süti beállítások módosítása