• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Captcha mit HTML 5 - was beachten, wie testen?

D

DiVaO

Guest
Guten Abend,

wie der Titel schon verrät habe ich mir mit HTML 5 eine CAPTCHA-Sicherheitsfrage mittels HTML 5 erstellt. Dabei wird eine zufällige, vierstellige Zahl verzerrt und von Linien durchgestrichen dargestellt, die der Nutzer dann eingeben muss.
Nun habe ich zwei generelle Fragen: Bei mir ist es nun der Fall, dass die vierstellige Zahl offen im Quelltext steht. Macht dies die Sicherheitsfrage wieder unsicher, also durchsuchen mögliche Bots auch den Quellcode und wenn ja, nach welchem Prinzip? Wird nach Stichworten wie "captcha", "secure", etc. gesucht oder wird ein solcher Code in jedem Fall gefunden? Oder ist das garkein Problem?

Und gibt es die Möglichkeit, Sicherheitsfragen zu testen? Also einen Service mit dem man sozusagen ein Script auf den Captcha loslässt, um die Sicherheit zu testen. <- Wenn die erste Frage beantwortet ist, erledigt sich das vielleicht auch von alleine.

Das wäre schon alles, Google hilft mir da nicht weiter aber ein Profi wird sowas sicher schnell beantworten können. ;)

Vielen Dank.
 
DiVaO schrieb:
Nun habe ich zwei generelle Fragen: Bei mir ist es nun der Fall, dass die vierstellige Zahl offen im Quelltext steht. Macht dies die Sicherheitsfrage wieder unsicher, also durchsuchen mögliche Bots auch den Quellcode und wenn ja, nach welchem Prinzip? Wird nach Stichworten wie "captcha", "secure", etc. gesucht oder wird ein solcher Code in jedem Fall gefunden? Oder ist das garkein Problem?
Zum Vergrößern anklicken....

Wenn der Schlüssel im Quelltext steht, geht der Sicherheitsgrad der Captcha-Abfrage gegen 0. Und da ist es egal mit welchem Schlüsselwort der Code im Zusammenhang steht. Das braucht man auch nicht durch Automatismen testen, ein Angreifer findet diese Schwachstelle mit Sicherheit.

Ich weiß nicht, wie du das Captcha mit HTML5 machst (Canvas und JavaScript?), aber das dem Client zu überlassen halte ich für fahrlässig.

Die Grafik muss rein serverseitig generiert werden und auch der Lösungsschlüssel darf nur dem Server bekannt sein.
 
Ja, ich benutze Canvas dafür. Damit beschäftige ich mich momentan ein wenig und dachte mir, damit lässt sich so ein Captcha mit sehr wenig Code umsetzen.
Der Quelltext sieht halt dementsprechend etwa so aus: (Die zufälige Zahl in dem Fall = 1558 )

HTML: 
...
<canvas id=captcha></canvas>
...
<script>
...
canvas.fillText("1558", 10, 10);
...
</script>

Aber wenn das doch so unsicher ist, wenn der Code im Quelltext auftaucht, muss ich wohl auf die übliche Methode mit PHP und GD Library zurückgreifen. Auf jeden Fall weiß ich nun bescheid, was man beachten muss. Weil selbst umsetzen will ich das in jedem Fall, bei kleinen Projekten ist mir eine eigene Lösung lieber als einen Klotz wie reCaptcha einzubauen.

Vielen Dank vitus37 :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben