La mise en œuvre captcha dans un environnement de service Web REST sans état

Question

Le projet je travaille est un morceau de HTML statique avec un peu de JavaScript en ligne qui appelle un service Web REST, que je suis moi-même créer en utilisant .NET 3.5 WCF.

Le JavaScript va récupérer des détails de l'utilisateur, y compris une adresse e-mail, puis envoyez ces détails hors du service Web par Ajax. Le service Web enregistre alors les détails dans une base de données.

Puisque c'est un service web, je suis sûr que ce serait apatride.

Toutefois, l'exigence du projet est que devrait faire le JavaScript front-end un captcha pour éviter le spamming.

Le site lui-même ne sera pendant quelques semaines (6 semaines maximum), et je ne pense pas que cela suffit pour tout le temps les attaquants pour obtenir sérieusement de mettre le site vers le bas.

Pour cette raison, je l'ai envisagé de faire un tout captcha côté client, puisque captcha traditionnelle exige une session stateful.

Cependant, je suis curieux de savoir quelles sont les mesures de sécurité seraient normalement mises en œuvre dans un environnement sans état, ou si quelqu'un pense que je me trompe sur la validation captcha côté client étant suffisante.

Answer 1

Vous pouvez même pas besoin d'un CAPTCHA. De nombreux clients de spam sont trop stupides pour exécuter des choses comme Javascript. Vous pouvez essayer de régler juste une entrée cachée à une valeur en Javascript.

Si votre site est seulement pour quelques semaines alors je doute que quelqu'un construirait un client qui contourner cette difficulté.

Cela dit, il visserait utilisateurs sans Javascript, donc je vous recommande de mettre un message à l'écran que le Javascript supprime. Cela aurait le même champ d'entrée, mais comme une case à cocher avec une étiquette qui explique qu'ils doivent vérifier de ne pas être ignoré.