Spravce, ktery si preje umoznit Googlu smirovani uzivatelu sveho webu, si na nej umisti vedle recaptcha skriptu jeste div s vlastnosti data-sitekey, jejiz hodnota je zrejme indentifikator, unikatni pro kazdy web (a mnohokrat se opakuje v komunikaci).
Na konec se uzivatel prihlasi a s formularem odesle promennou g-recaptcha-response, ktera obashuje nejaky vygenerovany token, na nejz se predpokladam server zepta Googlu a podle platnosti povoli, nebo zamitne pristup.
Kompletovani captchy pred tim, nez vyplnis login a heslo, pripadne dalsi udaje, ti podle mne moc nepomuze. Za prve, skripty jsou na serverech Google a on ti muze kdykoliv naservirovat jine, ktere ti vyluxuji vstupy formulare ve chvili, kdy jej odesles.
Za druhe, i kdyz znalost prezdivky neni od veci, Google moc nezajima, ze xxxGANDALFxxx951 se prihlasil na web hentai.com a pouziva heslo Gandalf123. Pro nej je zajimavejsi vedet, a to skrze svoji rozsahlou sit smirovacich prvku, rozesetych po celem webu, zjistit muze, ze osoba, ktera hleda A, B a C, a ktera navstevuje weby D, E a F, navstevuje take hentai.com. Pokud jsi zaroven prihlasen do sluzeb Google svym jmenem, tak dokaze rict rovnez to, ze Pepa Novak hleda A, B, C, navstevuje D, E, F a take hentai.com.
Propojeni captchy se smirovanim je velmi chytre, protoze uzivatel bud bude pouzivat web a zaroven se necha smirovat Googlem (povypina vsechny blokatory nebo ve vsech whitelistuje Google prinejmensim pro dany web), nebo se smirovat nenecha a v tom pripade nebude s to dany web pouzit, protoze z principu kdo tou captchou neprojde, ten se tam nedostane.
5 Odpovědí
2893 Zhlédnutí