我经常使用验证码来保护表单。到目前为止,出于显而易见的原因,我只在服务器端检查用户输入的验证码解决方案。
对于所有其他表单字段,我会在客户端进行 javascript 验证,因为这更快且更用户友好; (当然我在服务器端做了第二次检查),但是对于验证码字段,我只是检查了它是否填写了。
我的问题: 使用验证码的哈希键(例如 MD5)进行客户端 JavaScript 验证是否安全?使用哈希键不会将验证码本身泄露给机器人,应该很安全,对吧?
但也许我对这个想法完全错误...... 感谢您的见解!
【问题讨论】:
标签: javascript forms validation security captcha
我会说足够安全,但这可能有助于 OCR 机器人检查他们是否正确,而无需在服务器上尝试运气并冒丢失当前验证码的风险(因为如果提供了不正确的答案,服务器将使代码无效并且不会给您第二次使用相同验证码重试的机会。
假设 OCR 机器人无法判断您的验证码的最后一个字母是小写 L 还是“1”数字?在没有客户端验证的传统验证码中,机器人只是碰运气,如果它猜错了,服务器会记录失败并重新发送一个完全不同的验证码,因此 OCR 必须重新开始。
现在想象一下上面的场景,但是通过客户端验证,机器人可以在不通知服务器的情况下验证他们是否有正确的答案,所以在这种情况下,如果机器人不确定,它会尝试所有对哈希的可能性,只提交正确的答案。基本上,这使机器人能够犯错误,而无需告知服务器,也无需重新开始。
最后,我没有记住精确的数字,但即使每次使用不同的盐,根据可能性的数量(如 4 个字母数字字符,不区分大小写),也有可能在一段合理的时间,甚至没有制作 OCR。为了缓解这种情况,您应该使用哈希的多次迭代,以便尝试所有可能的答案在计算上变得困难。
【讨论】:
听起来可行,但是您绝对应该考虑使用长随机盐来防止基于预先计算的简单攻击。
更正式地说,您必须发送图像、长随机盐和哈希值。然后,在客户端,您将计算与盐连接的输入文本的哈希值,并将结果与哈希值进行比较。
由于长随机盐,攻击者的预先计算的集合必须非常大才能反映所有可能的盐值。
另外,忘记 MD5,因为它被认为是不安全的。使用更强的哈希函数。
另请注意,这只会可能增强用户体验(无需发布页面以防验证码输入错误)但绝对不能只客户端。实际验证必须在服务器上完成。
【讨论】:
s/doable/security flaw/