Foro de elhacker.net

Buenos días,
Alguien me podría decir que tan seguro es la obtención de los token de captchas de google.
Estoy usando la (V3).

        <script src="https://www.google.com/recaptcha/api.js?render=6LdDN7cUAAAAAABDgIdmRS5bvN8sZM7hsn9DWfZ1"></script>
	<script type="text/javascript">
	grecaptcha.ready(function()
	{
		grecaptcha.execute('6LdDN7cUAAAAAABDgIdmRS5bvN8sZM7hsn9DWfZ1', {action: 'test'}).then(function(token)
		{
			document.getElementById('g-recaptcha-response').value = token;
		});
	});
	</script>
 
        <form id="LoginForm" method="post">
		<label for="email">Correo electrónico</label>
		<input type="email" id="email" placeholder="Email" name="email" required="true">
		<input type="hidden" id="g-recaptcha-response" name="g-recaptcha-response"> 
		<button type="submit" name="enviar">enviar</button>
	</form>
 

El token es "depositado" en un input hidden (invisible) pero si la persona a la hora de enviar el formulario hace click derecho (inspeccionar elementos) va a poder editar el valor de este input entonces ya no se hasta que punto sea seguro usar captchas de google o al menos este metodo de la V3, ojala existiera un método de obtener el token del lado del servidor y no del cliente. (Generalmente no me gusta hacer este tipo de cosas del lado del cliente)

Gracias!

Ese es el token publico, es normal que lo tenga la persona porque es el token que esa persona tiene que enviar para que el servidor pueda validarlo con el servidor de Google. Te recomiendo que te mires una guia basica de como funcionan los cifrados con clave pública y clave privada.

https://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica

Esto se basa en el mismo principio.

Saludos

Saludos,

- Y a mí me gusta recomendar los videos de IntyPedia:

Lección 03. Sistemas de cifra con clave pública
http://www.criptored.upm.es/intypedia/video.php?id=criptografia-asimetrica&lang=es

On1clzor4x4