it-swarm-es.com

Uso de transitorios para almacenar captchas.

Me preguntaba si algo como esto funcionaría:

  • La página muestra un formulario, con un código captcha en su interior.
  • Cuando se genera este formulario, se configura un transitorio para almacenar el código captcha.
  • El visitante remite el formulario.
  • Después de enviar $_POST['captcha'] se compara con el transitorio de la base de datos; si el retorno es igualado, de lo contrario falla
  • Eliminar el transitorio

¿Qué piensas? ¿Es esto seguro?

2
Alex

Creo que, si bien este método podría ser seguro, hay muchas ventajas al usar un sistema de captcha comercial, tanto en términos de seguridad de las imágenes de captcha/audio/medios, como en términos de ventajas de rendimiento como el almacenamiento en caché. . Si utiliza un widget captcha que está basado en JavaScript, por ejemplo, la página subyacente generada por WordPress podría en realidad ser completamente almacenada en caché como una página estática por una serie de complementos de almacenamiento en caché. Si está generando el captcha en PHP cada vez, esto no sería posible

Si recorres esta ruta, una cosa que también querrás hacer es agregar un punto oculto al formulario para asegurarte de que el agente de usuario que responde al captcha sea para quien lo generaste. La función wp_nonce de WordPress puede ayudarte a hacer esto fácilmente. De lo contrario, si no limpia los transitorios de captcha con cuidado, es posible que alguien guarde esa página con el captcha y que otro agente de usuario envíe la respuesta.

1
mitcho