क्या मैं जावास्क्रिप्ट से कैप्चा डेटा को सुरक्षित तरीके से पढ़ सकता हूं?

Question

हम पंजीकरण फॉर्म में कैप्चा नियंत्रण का उपयोग करते हैं कि हम सर्वर सत्यापन के बगल में जावास्क्रिप्ट (JQuery) के सभी क्षेत्रों के लिए पूर्ण ग्राहक सत्यापन करते हैं ..
मैंने कई तरीकों की कोशिश की लेकिन सभी जावास्क्रिप्ट में कैप्चा मान लिखेंगे जिन्हें एक्सेस किया जा सकता है किसी को भी :(इनके द्वारा
मैं खोज अगर वहाँ किसी भी तरह से है कि मुझे ग्राहक के पक्ष में कैप्चा मूल्य को मान्य सुरक्षित तरीके से JQuery का उपयोग कर या यह नहीं किया जा सकता अनुमति देते हैं?

Answer 1

यह नहीं किया जा सकता।

जावास्क्रिप्ट है क्लाइंट-साइड, जैसा कि आप जानते हैं, और किसी भी कोड क्लाइंट-साइड को संभावित रूप से समझौता किया जाना चाहिए क्योंकि आपके पास इसका नियंत्रण नहीं है।

सबसे अच्छा, आप नमक के साथ मूल्य के नमकीन हश को भेजने का सहारा ले सकते हैं, लेकिन यहां तक ​​कि वास्तव में इसे प्रस्तुत करने से पहले अनुमानित मूल्यों का परीक्षण करने के लिए भी इस्तेमाल किया जा सकता है।

बाकी सब कुछ सर्वर पर कॉल पर निर्भर करता है।

सबसे पहले, सर्वर पर, एक यादृच्छिक स्ट्रिंग नमक के रूप में प्रयोग की जाने वाली गणना:

---

टिप्पणी अनुरोध के अनुसार, यहां एक सामान्य उपाय है। यह हर अनुरोध लगभग मोटा होना चाहिए। इस स्ट्रिंग का उद्देश्य rainbow table attacks को रोकने के लिए है।

अब, इस स्ट्रिंग को अलग से सहेजते हुए, लेकिन एक और स्ट्रिंग भी बनाएं जो यादृच्छिक स्ट्रिंग और कैप्चा उत्तर का संगतता है। इस नई संयुक्त स्ट्रिंग में से आप हैश उत्पन्न करते हैं (उदाहरण के लिए, SHA-1)।

using System.Web.Security; 
... 
string hashVal = FormsAuthentication.HashPasswordForStoringInConfigFile(combined, "SHA1"); 

यादृच्छिक स्ट्रिंग और हैश मान दोनों पेज में रखा जा रहा जावास्क्रिप्ट को पढ़ने में सक्षम होने के लिए की जरूरत है।

ग्राहक पक्ष पर, जब कोई उपयोगकर्ता कैप्चा का उत्तर देता है, तो यादृच्छिक स्ट्रिंग लें और इसे उत्तर के साथ संयोजित करें (यहां विचार प्राप्त करें?)। इस स्ट्रिंग को लेते हुए, आप इसे SHA-1 JQuery plugin जैसे कुछ हैश के लिए उपयोग कर सकते हैं और इसे आपके द्वारा भेजे गए पूर्व-गणना वाले हैश के साथ तुलना कर सकते हैं।

hashVal = $.sha1(combinedString)

यदि यह मेल खाता है, यह (लगभग) निश्चित रूप से सही जवाब है। यदि ऐसा नहीं होता है, तो यह 100% गलत जवाब है।

Answer 2

आप सर्वर पर वर्तमान मान पोस्ट करने के लिए AJAX का उपयोग कर सकते हैं, जो सही या गलत का जवाब देगा। जो आपको वास्तविक पोस्ट करने और HTML में कैटचाचा मान देने से भी रोक देगा।

Answer 3

मेरा समाधान)) हर बार जब पृष्ठ उपयोगकर्ता को कैप्चा दिखाता है, तो आप गतिशील रूप से obfuscated जावास्क्रिप्ट फ़ंक्शंस उत्पन्न कर सकते हैं (मुझे लगता है कि 5 या 10 का सबसे अच्छा तरीका है)। उदाहरण के लिए, एक फ़ंक्शन (या 3))) पूर्वनिर्धारित हैश (सर्वर इसे वापस कर देता है) के साथ कुकीज़ सेट कर सकता है (कैप्चा के वास्तविक मूल्य से), अन्य फ़ंक्शंस को सर्वर के टाइप एल्गोरिदम का एहसास होना चाहिए ताकि उपयोगकर्ता द्वारा टाइप किए गए मान की जांच हो सके। मैं कह सकता हूं कि यह 100% के लिए काम करता है, क्योंकि गतिशील रूप से जावास्क्रिप्ट को पार्स करना बहुत मुश्किल है + हम क्लाइंट साइड पर उपयोगकर्ता कुकीज़ सेट करते हैं (जावास्क्रिप्ट का उपयोग करके बोट्स को यह पता लगाने के लिए बहुत मुश्किल है कि आप कहां और कैसे सेट करते हैं और चेक करते हैं) ।