[Fanda] DobryKod.cz usnadňuje používání webů handicapovaným uživatelům - Aktuálně - Helpnet

Petr Závodský petr.zavodsky na owasp.org
Pondělí Únor 25 14:29:05 CET 2013


Dobrý den,
CAPTCHA je bezpečnostní opatření a proto musí splňovat minimální
bezpečnostní požadavky. Bohužel metody, jako např. početní úkony nebo typu
napište číslici "stopadesátšest" jsou velmi snadno prolomitelné a usnadňují
útoky na web nebo na uživatele a provozovatelům webů tak mohou vzniknout
nemalé škody. Takovým útokem může být například získávání uživatelských
jmen a následné vyzkoušení několika hesel na všechny uživatele (pokud
vyzkoušíte jedno heslo na tisíc uživatelů, pravděpodobně alespoň v jednom
případě uspějete.). Mezi další útoky patří spamování, získávání citlivých
informací o uživatelích apod. Deformované obrázky se používají proto, že
stroje je zpravidla nepřečtou. Přitom platí, že čím deformovanější text v
obrázku, tím je bezpečnější. Proto se u lépe zabezpečených webů setkáváte s
CAPTCHA obrázkovou. Bohužel také zpravidla platí, že čím bezpečnější
CAPTCHA, tím hůře přístupný.
Avšak pravda je, že v některých případech se CAPTCHA používá zcela zbytečně
anebo obrázkový CAPTCHA být použit nemusí. Navíc dnes platí, že ani u webů,
které potřebují splňovat maximální požadavky na zabezpečení, obrázkový
CAPTCHA je již slabé zabezpečení (útočníci si mohou pronajímat lidi, kteří
obrázkové kódy přepisují - běžně si kdokoliv může objednat armádu Indů a
zaplatí za to několik velmi málo dolarů za tisíc přečtení.)

Petr Závodský

2013/2/25 Csaba Garai <csaba.garai na gmail.com>

> Zdravím,
> sice zajímavý projekt, ale pořád si myslím, že existuje řada jednodušších
> řešení, které jsou přitom finančně také nenáročné, jako početní úkony, nebo
> typu napište číslicy "stopadesátšest"
> nebo vyberte ze seznamu jaký je den v týdnu, či měsíc etc... Cs.
>
> DobryKod.cz usnadňuje používání webů handicapovaným uživatelům
> 21.2.2013 21:53
> DobryKod.cz dvěma novými bezplatnými službami zdarma usnadňuje
> handicapovaným uživatelům používání webových stránek. Služba Screenshot
> prolamuje překážku, kterou skýtá obrázkový CAPTCHA kód - obrázek, ze
> kterého dobře vidící lidé opisují písmena a číslice, aby mohli pokračovat v
> použití webu. K tomu služba Screenshot využívá spolupráce automatu a
> lidských operátorů, kteří obrázkový CAPTCHA kód transformují do čitelné
> podoby. Druhá služba Encrypted CAPTCHA poskytuje vývojářům webů alternativu
> pro zajištění bezpečné, levné a především handicapovaným uživatelům
> dostupné alternativy nejen obrázkového CAPTCHA.
> Webové stránky někdy obsahují ochranu, která má odlišit člověka od stroje
> a zabránit tak různým útokům, jakými jsou např. spamování, krádež
> uživatelských dat apod. Takovou ochranou bývá právě CAPTCHA.
>
> Obrázkové CAPTCHA kódy vytváří překážku zejména zrakově postiženým webovým
> uživatelům, protože je nevidí a zároveň nejsou dostupné zařízením, jež
> zrakově postižení používají ke čtení webových stránek. Někdy používaný
> zvukový CAPTCHA není vždy k dispozici, snižuje úroveň zabezpečení, náklady
> na pořízení mohou být neúnosné a zpravidla chybí různé jazykové verze.
>
> Se službou Screenshot tyto překážky přestávají existovat. Uživatel pořídí
> snímek obrazovky (screenshot) a zašle ho na centrální e-mailovou adresu
> Dobrého kódu. Jako odpověď mu dorazí člověkem přečtený kód, který následně
> může použít. Kód pro handicapované uživatele opisují operátoři, kterým
> práci usnadňuje automat.
>
> V praxi se používají i jiná webová řešení pro rozlišení člověka a stroje.
> Různé rébusy, grafické prvky aj. I v těchto případech však také bývají
> nedostupné mnoha handicapovaným. Proto DobryKod.cz nabízí vývojářům řešení,
> které taková bezpečnostní opatření vytváří snadno dostupnými zejména
> zrakově postiženým. A to linkem, který obsahuje zašifrovaný řetězec písmen
> a číslic. Když nevidomý uživatel na link klikne, je přesměrován na web
> DobryKod.cz. Po zadání uživatelského jména a hesla je mu řetězec
> rozšifrován a zobrazen v jemu čitelné podobě.
>
> Služby jsou svým uživatelům dostupné 24 hodin denně 7 dní v týdnu
> prostřednictvým webu www.dobrykod.cz. Pokud se DobryKod.cz osvědčí v
> Česku, je připraven pro rychlé rozšíření do zahraničí.
>
> Autorem služeb je Petr Závodský, pracovník společnosti CZ.NIC, z.s.p.o.
> (správce české domény nejvyšší úrovně) a člen celosvětové komunity OWASP
> (Open Web Application Security Project) zabývající se bezpečností webových
> aplikací.
> Petr Závodský
>
>
> http://www.helpnet.cz/**aktualne/68025-3<http://www.helpnet.cz/aktualne/68025-3>
>
> --
>
>
> s pozdravem, Cs.
>


Další informace o konferenci Fanda