サーバーの外部で実行されるスクリプトを作成したり、ブラウザのアドオンを使用してスクリプトを作成したりすることはできますか? このようにして、3 分で 10 億の偽アカウントが非常に簡単に登録される可能性があります。Facebook を想像してみてください。Facebook は、人間に見えるキャプチャを一切使用しません。ブラウザのアドオンは、フォームの送信を実行し、ローカル データベースから取得した vals を新しい電子メールに挿入します。それは小切手であるため、関連付けられる必要があります。電子メールの重複はありません。毎日、世界中で何千もの偽のアカウントが作成される可能性はありますか?
偽のアカウントを防止する最善の方法は何ですか? データベースを詰まらせるためだけに人間が登録し、年間で 3,000 万から 5,000 万のアカウントを達成するローテーション ips センターのシナリオを想像することさえできます。ありがとう
これはおそらく Security.Stackexchange.com Web サイトの方が優れていますが、...
OWASP Guide to Authenticationによると、CAPTCHA は実際には悪いことです。それらは機能しないだけでなく、追加の頭痛の種を引き起こしますが、場合によっては(OWASPによると)違法です.
キャプチャ
CAPTCHA (人間とコンピューターを区別するための完全に自動化されたチューリング テスト) は、障害のある市民に対する差別を禁止する法域では違法です。これは本質的に全世界です。CAPTCHA は便利なように見えますが、実際には、次の方法のいずれかを使用して簡単に破ることができます。
• 光学式文字認識。ほとんどの一般的な CAPTCHA は、専門の CAPTCHA 解読 OCR ソフトウェアを使用して解決できます。
• テストを中断し、foo への自由なアクセスを取得します。ここで、foo は望ましいリソースです。
• 誰かにお金を払って CAPTCHA を解決してもらいます。
執筆時点での現在のレートは、500 テストあたり 12 ドルです。したがって、ソフトウェアに CAPTCHA を実装することは、少なくともいくつかの国では違法である可能性が高く、さらに悪いことに、まったく効果がありません。
他の方法が一般的に使用されます。
結局のところ、最善の防御は、セキュリティ関連のあらゆるものと同様に、複数の防御を使用する階層化されたアプローチです。アイデアは、攻撃者が広告をあきらめて別のサイトを試すように、平均よりも難しくすることです。これは永続的な攻撃者をブロックしませんが、ドライブバイ攻撃を縮小します.
あなたの最初の質問に答えるために、それはすべて、ウェブサイトの開発者が人々の自動アカウント作成を防ぐために取った予防措置にかかっています.
有能な開発者であれば、要件収集フェーズでこれに対処し、計画を立てます。しかし、無能な開発者/チームによってコーディングされた Web サイトはたくさんあります。
これは、ブラウザー拡張機能を使用する場合と使用しない場合がある単純なスクリプトを使用して可能です (たとえば、Perl で記述されたスクリプトや、wget/curl を使用するシェル スクリプト)。
ほとんどの Web サイトは、CAPTCHA を有効にする前に、特定のブラウザー/IP から受信した要求の数を追跡することに依存しています。
この情報はサーバー側で有限の有効期限で追跡できます。または、クライアントが複数の IP を使用している場合 (DHCP 接続のユーザーなど)、この情報は Cookie を使用して追跡できます。