Vlákno názorů k článku Proč je CAPTCHA na ISDS až po přihlášení? od Filip Jirsák - Je tady někdo, kdo chápe, k čemu to...
-
Filip Jirsák (neregistrovaný)Je tady někdo, kdo chápe, k čemu to má být dobré? CAPTCHA žádným způsobem neovlivní to, zda je něco považováno z právního hlediska za zneužití přístupových údajů. Pokud někdo ty přístupové údaje zneužije vědomě, klidně si opíše i tu CAPTCHU. Takže jediná varianta, proti které je ta CAPTCHA zřejmě zaměřena, je: někdo získá cizí přístupové údaje a vytvoří na webu formulář, který se těmito údaji přihlásí do ISDS. Naláká někoho jiného, aby na tento formulář kliknul – dotyčný klikne, dostane se do datové schránky někoho jiného, za což by měl být asi za úsvitu zastřelen. Aby se tomu vyhnul, je mu předhozena ještě CAPTCHA, která ho má zastavit, aby zjistil, že někomu naletěl. Nebylo by ovšem v takovém případě jednodušší i praktičtější na stránku mezi přihlášení a vlastní vstup do ISDS místo CAPTCHY dát informaci o tom, že se uživatel právě přihlašuje do ISDS, a zda to chce opravdu udělat?
-
stoural (neregistrovaný)Ja jsem to pochopil :-)
Pokud nekdo jiny klikne na pristupove udaje a dostane se k IDS, neni odpovedny, neb ani nevi, ze dela neco spatneho, resp. muze na odkaz kliknout mimodek (nebo byt automaticky presmerovan). Jenze, kdyz jeste k tomu takovy napaleny vyplni captchu, ze sve vule jiz udela neco, co lze povazovat za zneuziti, zvlastne, pokud u te captchy bude nejaky text.
Jasne?
Staci zapojit mozek. -
stoural (neregistrovaný)Vy to porad nechapete. Z pohledu zakona je rozdil, jestli jste nekam podvodne presmerovan/podvedeně kliknete na odkaz, a kdyz vyplnite captchu.
To prvni nemusite byt schopen ovlivnit (treba vas tam presmeruje nejaka stranky, nebo nejaky vir). To druhe? Ano, to VY jste vyplnil tu captchu. -
Filip Jirsák (neregistrovaný)Když nad tím odkazem s přístupovými údaji bude napsáno „právě jste vyhráli milion korun, pro získání výhry klikněte na následující odkaz a na další stránce vyplňte podle návodu zadaná čísla“, napálený vyplní CAPTCHu stejně automaticky, jako klikl na odkaz. Že se přihlašuje do ISDS stejně nebude vědět (protože tam žádný text v tomto smyslu není, a i kdyby byl, nikdo to nebude číst). Navíc pokud by to byl cílený útok na konkrétní osobu, není problém, aby tu CAPTCHu za postiženého vyplnil sám útočník.
Kdyby si akce zpracovávající přihlašovací hlídala referrer (pokud není prázdný) a pomocí JS hlídala, že není spuštěna v rámci, bylo by to pro tento typ útoku daleko užitečnější. -
anonymníTak obrazku je po netu hafo a texty nikdo necte, natoz nake plky o nejakych zakonech => klido a obratem CAPTHA vyplni aniz by musel tusit kam leze. Ostatne jakozto ten kdo ho nasmeruje na DS mu muzu v klidu zobrazit neco na zpusob "jestli chces vazne to porno videt, tak vypln nasledujici ..."
-
Pochopil jsem to stejně. Ono hlavně v tomto případě žádná Captcha není potřeba. Prostě při zobrazení přihlašovacího formuláře přidám tajný klíč do formuláře i session a po jeho odeslání je navzájem porovnám. Kliknutím na odkaz na jiném serveru (CSRF útok) se tohle obejít nedá. Jediná možnost je "ovládat" prohlížeč uživatele, ale to pak už nepomůže ani ta Captcha :-).
ČLÁNKY DO MAILU