Когда спрашивать правила проверки?
Несмотря на то, что существует много дискуссий о реализации Captcha, я не смог найти подробностей о том, какие обстоятельства следует запрашивать для Captcha, особенно для финансового приложения, обслуживающего потребителей.
Некоторые из правил, о которых я думаю:
- Если 3 неудачных попытки входа / регистрации
- Если 3 повторных звонка, если пользователь уже вошел в систему.
Я считаю, что эти правила подвержены риску безопасности, и есть ли лучший способ справиться с этим? Любая библиотека, которая помогает решить эту проблему?
1 ответ
К сожалению, в подобных ситуациях вам всегда придется идти на компромисс между безопасностью и удобством. Я думаю, что конкретный номер, который вы выбрали, в порядке; человек, вероятно, не будет делать такие вещи, и если что-то делает, он, вероятно, не является законным пользователем. Я бы посоветовал, чтобы после того, как вы начали требовать, чтобы CAPTCHA продолжали, вы также продолжали подсчитывать эти случаи, регистрировать оповещения в какой-то момент и, в конечном итоге, забанить IP-адрес, если их действия выйдут из-под контроля.
Вам нужно будет пойти на компромисс с тем, как вы отслеживаете пользователей. Если вы делаете это с помощью файлов cookie, это будет более точным, но в большинстве случаев бот может просто не отправлять файлы cookie, за исключением вашего отслеживания. Единственное реальное решение - отслеживать по IP-адресам. Проблема заключается в том, что все пользователи, имеющие общий IP-адрес, будут выглядеть одинаково, поэтому, если все три пользователя не пройдут один вход в систему, это будет выглядеть (в основном) так же, как один пользователь три раза провалился. Кроме того, если кто-то законно забанен за злоупотребление вашим сайтом и находится за общим IP-адресом, возможно, что это может повлиять на других законных клиентов.
Подводя итог, вам нужно найти баланс между безопасностью и удобством.