Как мы все знаем, что была недавняя уязвимость на Facebook that was exploited by an Indian developer as stated here.Captcha решения грубой силы
Brute силы в 2016 году, очень странно, Facebook применяет ограничения скорости при вводе коды для телефона, почему они не используют капчи?
Нельзя ли избежать проблем, добавив капчу?
Thanks
CAPTCHA также не идеальны. Есть алгоритмы OCR для их программного решения, есть также системы, которые передают проблему с аутсорсинга, т. Е. Удаленные сайты загрузки могут дать вам всплывающее окно для решения CAPTCHA, но их реальной целью является не выяснение, являетесь ли вы человеком или нет, но решить эту конкретную CAPTCHA. Я думаю, что есть даже фабрики в местах, где человеческий труд очень дешев, когда люди решают CAPTCHA 10 часов в день в качестве своей обычной работы.
Я согласен с OCR algos, но все же можно реализовать Google captcha, который включает в себя щелчок. Я думал, что facebook все еще не добавил captcha к этому забыли пароль, почему это – Johnny
Это очень хороший вопрос :). Возможно, они не используют CAPTCHA, потому что это не удобно. Я думаю, что правильный предел скорости, который добавляет задержки для ответа, так что он не отвечает после того, как около 10 запросов должны быть в порядке без CAPTCHA. Они могли бы также аннулировать код после 5 попыток и отправить новый. – gerion
Я бы сказал, что это, вероятно, даже не нуждается в капчу. Если вы отправляете код восстановления на адрес электронной почты или сотовый телефон, нет причин, по которым должно быть более 5 неправильных записей. Я бы просто ограничил количество неправильных попыток до очень низкой суммы и сделал недействительным код сброса через 24 часа или он был неправильно догадан несколько раз. – drew010
@ drew10 Я действительно как разработчик забыл сделать это в своей среде QA. – Johnny
Я не слышал никаких аудио в видео, но заметил, что они использовали «бета» для выполнения эксплойта. Возможно, это было чем-то открытым для публики, которое было упущено или забыто. Я обнаружил множество открытых/открытых систем, открытых для публики, которые выдают гораздо более чувствительную информацию об отладке при предоставлении ошибочного ввода, но да, это определенно огромное смущение для них и могло нанести огромный ущерб, если оно было впервые обнаружено преступников или более злонамеренных пользователей. $ 15k - это хорошая награда за это, но что-то такое, возможно, стоило бы миллионов или более, если бы злоупотребляли. – drew010