Wie wir alle wissen, dass es eine aktuelle Sicherheitslücke auf Facebook that was exploited by an Indian developer as stated here.sind Sicherheitslösung für Brute-Force
Brute-Force im Jahr 2016 war sehr seltsam, gilt Facebook Rate während Begrenzung der Code für Telefon eingeben, warum sie nicht CAPTCHAS verwenden?
Kann das Problem nicht durch Hinzufügen von Captcha vermieden werden?
Dank
CAPTCHAs sind auch nicht perfekt. Es gibt OCR-Algorithmen, um sie programmatisch zu lösen, es gibt auch Systeme, die das Problem auslagern, dh zwielichtige Download-Sites können Ihnen ein Popup zur Lösung eines CAPTCHA geben, aber ihr wahres Ziel ist nicht herauszufinden, ob Sie ein Mensch sind oder nicht. aber um dieses spezielle CAPTCHA zu lösen. Ich denke, es gibt sogar Fabriken an Orten, wo die menschliche Arbeit sehr billig ist, wo die Leute CAPTCHAs 10 Stunden am Tag als ihre normalen Jobs lösen.
Ich stimme den OCR-Algos zu, aber noch kann man Google-Captcha implementieren, das Klicken beinhaltet. Ich dachte, dass Facebook noch nicht Captcha zu diesem vergessen Passwort Ding hinzugefügt, warum ist das – Johnny
Das ist eine sehr gute Frage :). Vielleicht verwenden sie CAPTCHA nicht, weil es nicht benutzerfreundlich ist. Ich denke, richtige Rate-Limit, die Verzögerung der Antwort hinzugefügt, so dass es nicht reagiert, nach etwa 10 Anfrage sollte ohne CAPTCHA in Ordnung sein. Sie könnten auch den Code nach 5 Versuchen ungültig gemacht haben und einen neuen Code senden. – gerion
Ich würde sagen, dass dies wahrscheinlich nicht einmal Captcha benötigt. Wenn Sie einen Wiederherstellungscode an eine E-Mail oder ein Mobiltelefon senden, gibt es keinen Grund, dass mehr als 5 falsche Einträge für etwas bereitgestellt werden. Ich würde die Anzahl der inkorrekten Versuche auf einen sehr niedrigen Wert begrenzen und den Reset-Code nach einer Zeitspanne von 24 Stunden ungültig machen oder er wurde einige Male falsch erraten. – drew010
@ drew10 Ich bin wirklich so, wie der Entwickler das in seiner QA-Umgebung vergessen hat. – Johnny
Ich konnte im Video nichts hören, bemerkte aber, dass sie eine "Beta" -Domäne benutzten, um den Exploit auszuführen. Vielleicht war dies etwas, das der Öffentlichkeit zugänglich war und übersehen oder vergessen wurde. Ich habe viele für die Öffentlichkeit offene Dev/Staging-Systeme gefunden, die bei fehlerhafter Eingabe sehr viel empfindlichere Debug-Informationen ausgeben, aber ja, das ist definitiv eine große Verlegenheit für sie und hätte immensen Schaden anrichten können, wenn es von entdeckt wurde Kriminelle oder böswilligere Benutzer. $ 15k ist ein gutes Kopfgeld dafür, aber etwas von dieser Größenordnung hätte Millionen oder mehr kosten können, wenn man es missbraucht hätte. – drew010