#5:
Y a mí me encanta como JDonwloader se salta todas las captchas a la primera. Salen los números y letras en negrita y a bajar.
#42:
#39 No tienes mucha idea de seguridad. Sin contar con los poblemas de idiomas diferentes, o que no sepan escribir correctamente tu algoritmo no es nada seguro.
La seguridad de éstos está basado en las combinaciones posibles para evitar los ataques por fuerza bruta (el más sencillo de los ataques). ¿Cuántas fotos de animales tienes? ¿1.000? ¿10.000? ¿100.000? Eso es ridículo y fácil de romper, cuando en un captcha de texto con sólo 6 letras como máximo tienes al menos 26^6 combinaciones(es decir más de 300 millones diferentes).
¿Tienes fotos de 300 millones de animales diferentes? ¿la gente conoce como se llaman esos 300 millones de animales diferentes? ¿son fácilmente distinguibles? ¿saben como escribirlas?
Y resolvieses todos los problemas anteriores todavía te queda que necesitas 500 GB para alcenarlas. Y todavía otra más grave, con esas imagenes se puede hacer una base de datos que detecte automáticamente por análisis de imágenes. Es muy simple cuando tienes los originales, aunque te hagan mil modificaciones (es la base de la los watermarks y la esteneografía en general).
Así que antes de decir tantas tonterías estudia un poco más, y entenderás por qué ese método no puede ser usado (y por eso no lo usan ningún sitio "interesante" de romper).
#112:
Bueno, como se ha puesto de moda lo del Animal Captcha ese he hecho unos pequeños cálculos sobre la probabilidad de reventar un algoritmo así mediante fuerza bruta.
En primer lugar, veamos la probabilidad de acertar en el intento n para el caso en que la foto no cambia nunca:
Pa = 1 / 30
Hay un total de treinta imágenes y no existe memoria de ningún tipo, luego la probabilidad de acertar en cada momento es constante.
La probabilidad de haber resuelto tras n intentos será:
Pn = 1 - Qn
Donde Qn designa la probabilidad de haber fallado todas las tiradas.
Qn = ( 1 - 1/30 )^n = (29/30)^n
Por lo tanto,
Pn = 1 - (29/30)^n
Ahora estudiamos el caso opuesto: aquel en el que la imagen no cambia en ningún momento. En este caso, la probabilidad de acertar en el intento n será:
Pa(n) = 1/(30-n)
Dado que, en caso de fallo, se descarta esa imagen.
La probabilidad de acumulada de haber acertado tras n intentos es:
Pn = 1/30 + (29/30)*(1/29) + (29/30)*(28/29)*(1/28) + ... + ((29/30)*...((30-n)/(30-(n-1)))(1/(30-n)) = n/30;
Para n30
El caso que nos ocupa estará acotado por estos otros dos. Aquí, la probabilidad de acertar una vez llegado el intento n es:
Pa(n) = 1/(30-(n-1)%3);
Y la acumulada:
Pn = 1/30 + (29/30)*(1/29) + (29/30)*(28/29)*(1/28) + (29/30)*(28/29)*(27/28) *(1/30)+ ...=
= sum_^ (27/30)^⌊(i-1)/3⌋/30
Tu software ahora mismo tiene 30 animales diferentes. Eso quiere decir que de media se necesitarán 30 intentos para acertar con el captcha, un algortimo tan simple como
for i = 0 to N
get html
if post "gato"
profit!
Elije N como quieras, el numero de intentos que harás. Supongamos que tu servidor es lento y no da más de una conexión por segundo. Eso significa que ahora mismo con 86400 conexioness (i.e. un día desde un ordenador) se acertarán 2880 veces.
Sí señor, muy seguro. Y si subes 1000 imágenes de 1000 animales diferentes se acertarán 86 veces, y no creo que haya humano "normal" capaz de reconocer y nombrar corectamente a 1000 animales diferentes.
Venga, no hagas afirmaciones ridículas, que las "ciencias de la computación" no es tan nueva y ya hay mucha cosa hecha
El que no lees eres tú (y lo malo es que no te das cuenta de tu ignorancia). El pseudocódigo de #53 ya asume que cambia el animal en cada intento (que es lo que hay que hacer, como mínimo).
De hecho los cambies o no las probalidades de acertar son 1/30, eso es ridículo. Y aunque sea 1/1000, cosa que ni siquiera podrás llegar con animales diferentes.
#64 No insulto a nadie, así que no veo lo de "perder" las formas. Sólo digo y explico la barbaridad que está diciendo este señor, y es obvio al que conozco fundamentos básicos de seguridad, o de estadística de 3ro. de instituto. "Las personas son respetables no las opiniones, hay ideas y opiniones que son una mierda".
#106:
#102 Ya, ya, ya. no lo sabías, por eso has respondido con una frase tan impersonal como No me puedo creer que con la inteligencia que tienes en #54
Lo malo de querer despistar después de meter la pata hasta el fondo es que hace falta mucha memoria para no contradecirse.
#79:
#73 Sobre las mejoras creo que son evidentes, las explico en mi post.
Sin embargo he de reconocer que teneis razon en vuestro planteamiento. Y aunque no me han gustado las formas de erlang, debo reconocer que teneis razon si se dá ese tipo de ataque.
El ratio de acierto de un codigo alfanumerico (con miles de respuestas) es mucho mayor que el ratio de tener solo 30 animales distintos.
Y puede que en algun caso merezca la pena hacer 15 peticiones por cada 1 acierto.
La solucion entonces sería aumentar el repertorio de animales un poco más, añadir objetos, deportes... . Y añadir bloqueos de IP y controles de sesion para evitar peticiones masivas. En fin, no sé que pensar, porque realmente todos los captchas tienen este bug, pero entre solo 30 animales es muy facil acertar.
Sigue con las ridiculeces, ¿has sentido hablar de redes de bots descifrando captchas? ¿o de tor? Con tu algoritmo tan seguro se necesitan sólo unas pocas máquinas o IPs, si bloqueas la IP al tercer intento bastan con 10 máquinas para no disparar el bloqueo (y las molestias que generas a los usuarios que se equivocan con los animales).
La seguridad de un algoritmo depende fundamentalmente del tamaño del "espacio", el "inseguro" md5 está 2^82, el recaptcha en más o menos 2^30, el tuyo tan seguro en 2^5.
Sí señor, soy un ignorante por creerme esos números.
En #53 no insulto nada, simplemente que te explico las barbaridades que estabas diciendo, que al final has reconocido que tengo razón 100%. Objetivamente son barbaridades y objetivamente eres un ignorante en el tema de seguridad, complejidad y captchas. Eso es objetivo y no es ningún insulto (todos somos ignorantes en millones de temas salvo unos pocos). Además debo agregar que además de responder borde [*] has tardado bastante en darte cuenta del problema.
[*] Por ejemplo en #61 La unica forma de crackear el concepto de Animal Captcha es demostrar que un sistema es capaz de identificar el patron de una imagen del mismo animal. Qué tendrá que ver Tor o los bots! ¿No te da ni un poquito de vergüenza haber escrito eso sin siquiera pedirme disculpas por semejante gilipollez de respuesta?
Pero eso no quita que hayas votado negativo a ese comentario donde te explica todo y que no te haya privado de decir No me puedo creer que con la inteligencia que tienes no se te ocurra lo siguiente...
Pero luego te haces el "ofendido". Si no te gustan que opinen críticamente a lo que escribes haz dos cosas:
1. No escribas, o
2. asegúrate de no afirmar barbaridades, especialmente en temas técnicos y objetivos.
También deberías entender que en discusiones técnicas, y sobre todo importantes como "seguridad", no hay que andar con tonterías, si alguien dice una barbaridad (como has hecho tú) hay que decirlo. Eso sí, con argumentos, que es lo que hice en #53 o #58
Y en ninguno de esos verás que te insulté o te traté de ignorante. Dije literalmente que los que afirmabas del algoritmo era una barbaridad. Objetivamente lo es. Y aunque has tardado afortunadamente has aprendido el problema.
Un "técnico" de verdad me habría dado las gracias por el tiempo invertido en explicarle en vez de ofenderse porque dije "barbaridad"
#8:
#7 El post no dice que reCAPTCHA sea mejor en su función de CAPTCHA, sino que además, utiliza al usuario para reconocer palabras escaneadas de libros antiguos (la segunda palabra) y así poder digitalizarlo.
#84:
#83 Daria igual, porque es un asunto estadistico.
Imaginate que creas una lista de los nombres con los 30 animales. Y realizas peticiones por fuerza bruta con un animal aleatorio de la lista como respuesta correcta...
El resultado estadistico a fin de cuentas sería 1 acierto por cada 15 intentos de media. (tal y como estan las cosas ahoras).
#7 El post no dice que reCAPTCHA sea mejor en su función de CAPTCHA, sino que además, utiliza al usuario para reconocer palabras escaneadas de libros antiguos (la segunda palabra) y así poder digitalizarlo.
#7, #16: recaptcha es probablemente uno de los captchas mas faciles de saltarse del mundo !! la primera palabra suele ser muy simplona y para la segunda acepta errores porque no conoce la solucion... y practicamente no modifica las imagenes para confundir al OCR
#39 No tienes mucha idea de seguridad. Sin contar con los poblemas de idiomas diferentes, o que no sepan escribir correctamente tu algoritmo no es nada seguro.
La seguridad de éstos está basado en las combinaciones posibles para evitar los ataques por fuerza bruta (el más sencillo de los ataques). ¿Cuántas fotos de animales tienes? ¿1.000? ¿10.000? ¿100.000? Eso es ridículo y fácil de romper, cuando en un captcha de texto con sólo 6 letras como máximo tienes al menos 26^6 combinaciones(es decir más de 300 millones diferentes).
¿Tienes fotos de 300 millones de animales diferentes? ¿la gente conoce como se llaman esos 300 millones de animales diferentes? ¿son fácilmente distinguibles? ¿saben como escribirlas?
Y resolvieses todos los problemas anteriores todavía te queda que necesitas 500 GB para alcenarlas. Y todavía otra más grave, con esas imagenes se puede hacer una base de datos que detecte automáticamente por análisis de imágenes. Es muy simple cuando tienes los originales, aunque te hagan mil modificaciones (es la base de la los watermarks y la esteneografía en general).
Así que antes de decir tantas tonterías estudia un poco más, y entenderás por qué ese método no puede ser usado (y por eso no lo usan ningún sitio "interesante" de romper).
Entiendo que votéis positivo a #42 , pero antes de votar negativo a #39 aconsejaría leer el texto que sale cuando dejas el ratón encima del botón de voto negativo.
#42 Creo que estás varios pasos atrás sobre Animal Captcha. Desde luego no te has leído nada sobre como funciona.
Cada imagen generada por Animal Captcha es ÚNICA y aleatoria. Quizá has pensado en la sencillez de presentar una imagen tal cual... pero esto es muy sencillo, ni si quiera se me ocurrió esta posibilidad.
Te doy una pista, si te fijas en cada imagen hay fundido otro animal, elegido aleatoriamente y girado aleatoriamente, con una transparencia aleatoria también. (Y esto teniendo en cuenta que he desactivado los polígonos y deformaciones aleatorias, ya que no es necesaria tanta seguridad).
Sería interesante que leyeses un poco antes de disparar tan rápido
Por cierto, animal captcha solo tiene 30 imágenes. No me he molestado en buscar más, para qué si son únicas y aleatorias... Como prueba de concepto es suficiente, incluso yo lo uso en producción.
El que no lees eres tú (y lo malo es que no te das cuenta de tu ignorancia). El pseudocódigo de #53 ya asume que cambia el animal en cada intento (que es lo que hay que hacer, como mínimo).
De hecho los cambies o no las probalidades de acertar son 1/30, eso es ridículo. Y aunque sea 1/1000, cosa que ni siquiera podrás llegar con animales diferentes.
#64 No insulto a nadie, así que no veo lo de "perder" las formas. Sólo digo y explico la barbaridad que está diciendo este señor, y es obvio al que conozco fundamentos básicos de seguridad, o de estadística de 3ro. de instituto. "Las personas son respetables no las opiniones, hay ideas y opiniones que son una mierda".
Sigue con las ridiculeces, ¿has sentido hablar de redes de bots descifrando captchas? ¿o de tor? Con tu algoritmo tan seguro se necesitan sólo unas pocas máquinas o IPs, si bloqueas la IP al tercer intento bastan con 10 máquinas para no disparar el bloqueo (y las molestias que generas a los usuarios que se equivocan con los animales).
La seguridad de un algoritmo depende fundamentalmente del tamaño del "espacio", el "inseguro" md5 está 2^82, el recaptcha en más o menos 2^30, el tuyo tan seguro en 2^5.
Sí señor, soy un ignorante por creerme esos números.
#58 Yo no te he llamado ignorante. En cambio tu en #42 has dicho que mis argumentos son "barbaridades" y una "tonteria".
A mi solo me valen argumentos y demostraciones.
Debes saber que antes de ti han crackeado Animal Captcha varios usuarios muy amables y extremadamente expertos en comparacion contigo. Se curraron codigos para demostrarme que las antiguas versiones de Animal Captcha eran inseguras. Sin embargo la actual si lo es (hasta que se demuestre lo contrario).
¿Tu que argumento das? A parte de llamar "tonterias", que sin duda recibes votos, pero no te dan la razón.
Ni Tor ni redes de bots tienen nada que ver. No sabes de lo que hablas. La unica forma de crackear el concepto de Animal Captcha es demostrar que un sistema es capaz de identificar el patron de una imagen del mismo animal. Qué tendrá que ver Tor o los bots!
#58 Hasta yo que no se del tema me estoy enterando tiene su logica si me he enterado bien no se trata de saltarte un captcha en particular que seria dificil por fuerza bruta sino de cuantos puedes saltarte en un dia (por poner un limite de tiempo),vamos a probar con una analogia es dificil que yo pueda acertar en que dia de mes nacio un usuario de meneame en concreto pero si me dejas un intento por usuario te aseguro que acertare alrededor de un 1/30 del total,supongo que es el mismo concepto
#68 ¿Pero cuantos animales hay en total en el sistema? Si empiezo a probar los 30 animales por orden a uno por segundo, ¿cuanto tardaré en colarme? Igual se me escapa algo simple, pero parece súmamente básico.
Imaginate que creas una lista de los nombres con los 30 animales. Y realizas peticiones por fuerza bruta con un animal aleatorio de la lista como respuesta correcta...
El resultado estadistico a fin de cuentas sería 1 acierto por cada 15 intentos de media. (tal y como estan las cosas ahoras).
el mejor captcha es el que protege algo que apenas tiene valor. Durante mucho tiempo codinghorror.com funciono con un catpcha que consistía en una imagen en la que siempre ponía "orange". Simplemente con eso se defendió de todo tipo de ataques automáticos que simplemente rellenan los formularios que van encontrando por internet. Ahora ya lo han cambiado por recaptcha, imagino que alguien se molesto en currarse un bot para hacer spam específicamente en ese sitio.
El captcha de google ha sido siempre de los mas difíciles de romper, pero también ha sido el que mas se ha intentado, y al final se han conseguido romper, pero la verdad es que ningun captcha es irrompible, se puede llegar al extremo de presentar el captcha a un usuario que esta buscando otra cosa como propio y utilizar de este modo a alguien que no lo sabe para solucionarte la papeleta. Por ejemplo a alguien que este buscando warez le presentas un captcha de google que luego utilizas para crear una cuenta.
Llegado este punto, jamas utilizaría recaptcha para proteger ningún sitio, porque una vez este roto (si es que no lo esta ya), automáticamente todos los sitios protegidos por el dejarían de estarlo.
En sitios pequeños es mejor uno simple pero no habitual, que el que use el resto del mundo pero sea común.
Quizá otra solucion es mostrar 2 animales y tener que acertar los dos... De esta forma se aumentaria exponencialmente el numero de respuestas posibles. Si hay 30 animales distintos = 900 respuestas posibles. Si aumentamos el repertorio a 50 animales (dudo que se pueda más) serían 2500 respuestas posibles, la media seria un acierto por cada 1250 intentos.
Pero en fin, me habeis pillado con este bug de fuerza bruta tan obvio y os lo agradezco de corazón
#81, si hace eso, pongamos con 6 animales a la vez, (como 6 letras suele tener un captcha), puede que lo convierta en bastante más seguro, pero sería una tocada de huevos para el usuario. ¿quién ser registraría, postearía... en un sitio que tenga que escribir el quijote para hacerlo?
#85 Con 6 animales desde luego yo no Sería un coñazo.
Con 2 animales yo creo que sería aceptable, incluso más comodo que un captcha alfanumerico. 3 Animales creo que seria demasiado molesto.
Quizá la unica forma de llevar este concepto a buen puerto es expandir el repertorio a objetos, por ejemplo. Silla, puerta, ventana, sofá, television...
Quizá podría hacer una web colaborativa donde la gente pueda añadir imagenes y ponerlos a prueba y añadir solo los que tengan un acierto estadistico razonable.
A ojo, entre animales y objetos, quizá podriamos alcanzar las 200 imagenes con acierto fiable. Con el sistema de presentar 2 imagenes a la vez, serian 40.000 respuestas posibles. 1 acierto por cada 20.000 intentos.
#91 Sigues limitandote. El problema es que no ves que el número de objetos, si no los multiplicas entre sí, ganas muy poco. Es decir, la gente colabora, añades mesas, sillas, fotos de personas famosas, etc.., ¿Cuántas fotos vas a acumular? 10000?? si pones 2 fotos a la vez. tus combinaciones siguen siendo POCAS!!!!, si pones 6 al mismo tiempo, es cuando de verdad creas un número suficiente de combinaciones, que sea complejo acertar.
Por otra parte, creo que ya lo han dicho más arriba, pero limitas el número de usuarios por idioma, por lo que deberías permitir que se eligiese idioma y tener los distintos nombres para cada uno de ellos (si quieres internacionalizarlo).
#93 Ya hay distintos idiomas implementados (ingles y español) y es muy facil añadir más (tan solo añadiendo nombres en los archivos). De hecho algunos animales tienen distintas respuestas valiadas (boa, serpiente, culebra, que son lo mismo).
Sobre el ratio de acierto, en #91 comento que sería posible alcanzar un repertorio de 200 imagenes, mostradas de 2 en 2 se aumentaria exponencialmente el numero de posibilidades. Para un solo acierto habria que hacer al menos 20.000 peticiones de media. Si hubiese que acertar 3 imagenes (puede que un poco molesto) las posibilidades de acierto seria una cada 4.000.000 de peticiones.
#93 con 200 imágenes, pidiendo dos de ellas, como dice #91, estaríamos hablando de 40000 combinaciones posibles. Ha habido y hay muchos captchas de 3 caracteres, que dan (26+10)^3 = 46656 combinaciones, que se usan en muchos sitios.
Esa opción la veo muy razonable, dependiendo del formulario que se quiera proteger. Es un captcha sencillo, y no todo lo que se programe hay que hacerlo con industrial strength_.
#81, veo que me votas negativo en #64 y en cambio propones aquí la misma solución que te he regalado yo en ese comentario. Deberías cuidar tu arrogancia, aunque te felicito por tu cambio de actitud.
#65 Una cuestión, por si sirve de algo (aunque sea para que me aclares mejor cómo funciona tu sistema, que explicado como lo has hecho no da ninguna garantía)... si tras tres intentos fallidos cambias de animal, ¿qué solucionas?
Me explico: sé que uno de tus 30 animales es el gato, así pues, mi súper-cracker algoritmo va a intentar siempre con "gato".
Empieza y le sale una oveja. Mi algoritmo le dice 3 veces al tuyo que es un gato, entonces le cambias el animal.
Ahora le sale un águila, y pasa lo mismo.
En un rato, aleatorio, llegará a salir un gato, y mi algoritmo habrá funcionado.
Si uso este súper-algoritmo en una red de máquinas, conseguiré muchos aciertos.
editado:
Wait, releo, que habéis escrito mucho .
ok, besitos *
Que conste que es soy el autor (lo he publicado como Software Libre), y por lo tanto soy el menos indicado para opinar... pero lo cierto es que es invulnerable y está dando muy buenos resultados entre el publico, desde hace un mes lo tengo funcionando con usuarios reales.
Les sorprende ver un animal como captcha, y el resultado final es positivo.
#34 tu sistema no funciona del todo bien, me salió un ave de rapiña y puse "Esperanza Aguirre" y me dijo que no, que era "buitre". Debería aceptar sinónimos . Lo mismo me pasó con "De la Vega"
#34 tu captcha es tan fácil de superar como el mío (super simple) y eso que no uso imagenes y se imprime el código directamente: http://lab.neo22s.com/mathCaptcha/
Es un captcha que te puede ir bien para sitios pequeños como uso en Open Classifieds. Pero vamos lo de "irrompible" para nada.
Tal como dice erlang mira todas las limitaciones que te ha sacado en un momento.
Cada imagen que presenta Animal Captcha es UNICA Y ALEATORIA. Esto se hace mediante una tecnica que mezcla y fusiona aleatoriamente dos imagenes de dos animales aleatorios.
Es decir, ningun sistema informatizado es capaz de identificar un animal de Animal Captcha, aun teniendo pre-analizados todas las imagenes matrices de Animal Captcha (que por cierto son descargables facilmente).
Tu software ahora mismo tiene 30 animales diferentes. Eso quiere decir que de media se necesitarán 30 intentos para acertar con el captcha, un algortimo tan simple como
for i = 0 to N
get html
if post "gato"
profit!
Elije N como quieras, el numero de intentos que harás. Supongamos que tu servidor es lento y no da más de una conexión por segundo. Eso significa que ahora mismo con 86400 conexioness (i.e. un día desde un ordenador) se acertarán 2880 veces.
Sí señor, muy seguro. Y si subes 1000 imágenes de 1000 animales diferentes se acertarán 86 veces, y no creo que haya humano "normal" capaz de reconocer y nombrar corectamente a 1000 animales diferentes.
Venga, no hagas afirmaciones ridículas, que las "ciencias de la computación" no es tan nueva y ya hay mucha cosa hecha
He venido aquí a decir básicamente lo mismo que #56 y #53, que tienen razón aunque en el caso de #53 le pierdan las formas.
Básicamente, #54, lo importante del asunto no es cuántas combinaciones de imágenes seas capaz de generar, sino cuántas combinaciones de inputs distintos puedes conseguir de tus usuarios (no me voy a explicar más porque creo que #56 lo deja bastante claro).
La única forma de arreglar tu sistema sería aumentando el número de inputs distintos presentándole a los usuarios "tiras" de 10 o 15 animales tomados cada uno de un conjunto de 20-30 elementos reconocibles. Podrías incluso utilizar elementos para evitar que el usuario tuviera que teclear.
En cualquier caso, me temo que no has inventado nada nuevo
#64 ¿De verdad que no has leido mi comentario #54 y #57 ??
He dicho que mañana mismo haré un contador de intentos introducido en la sesion PHP y tras 3 errores se cambiará el animal. Y a tirar millas.
Así se resuelve el bug de fuerza bruta elemental que comentais, aunque es obvio que no rebate el concepto, pues es un pequeño detalle facilisimo de resolver. Para mi era obvio que llegada la necesidad el webmaster implemente esta protección.
#52 ¿Insuperable dices? Cuántos nombres de animales diferentes suele conocer la gente común ¿Unos cien?, ahora creamos un programa que escriba uno por uno esos cien nombres (fuerza bruta). Tu captcha infalible tardará en ser rebentado exactamente el tiempo que he tardado en escribir este comentario
#73 Sobre las mejoras creo que son evidentes, las explico en mi post.
Sin embargo he de reconocer que teneis razon en vuestro planteamiento. Y aunque no me han gustado las formas de erlang, debo reconocer que teneis razon si se dá ese tipo de ataque.
El ratio de acierto de un codigo alfanumerico (con miles de respuestas) es mucho mayor que el ratio de tener solo 30 animales distintos.
Y puede que en algun caso merezca la pena hacer 15 peticiones por cada 1 acierto.
La solucion entonces sería aumentar el repertorio de animales un poco más, añadir objetos, deportes... . Y añadir bloqueos de IP y controles de sesion para evitar peticiones masivas. En fin, no sé que pensar, porque realmente todos los captchas tienen este bug, pero entre solo 30 animales es muy facil acertar.
En #53 no insulto nada, simplemente que te explico las barbaridades que estabas diciendo, que al final has reconocido que tengo razón 100%. Objetivamente son barbaridades y objetivamente eres un ignorante en el tema de seguridad, complejidad y captchas. Eso es objetivo y no es ningún insulto (todos somos ignorantes en millones de temas salvo unos pocos). Además debo agregar que además de responder borde [*] has tardado bastante en darte cuenta del problema.
[*] Por ejemplo en #61 La unica forma de crackear el concepto de Animal Captcha es demostrar que un sistema es capaz de identificar el patron de una imagen del mismo animal. Qué tendrá que ver Tor o los bots! ¿No te da ni un poquito de vergüenza haber escrito eso sin siquiera pedirme disculpas por semejante gilipollez de respuesta?
Pero eso no quita que hayas votado negativo a ese comentario donde te explica todo y que no te haya privado de decir No me puedo creer que con la inteligencia que tienes no se te ocurra lo siguiente...
Pero luego te haces el "ofendido". Si no te gustan que opinen críticamente a lo que escribes haz dos cosas:
1. No escribas, o
2. asegúrate de no afirmar barbaridades, especialmente en temas técnicos y objetivos.
También deberías entender que en discusiones técnicas, y sobre todo importantes como "seguridad", no hay que andar con tonterías, si alguien dice una barbaridad (como has hecho tú) hay que decirlo. Eso sí, con argumentos, que es lo que hice en #53 o #58
Y en ninguno de esos verás que te insulté o te traté de ignorante. Dije literalmente que los que afirmabas del algoritmo era una barbaridad. Objetivamente lo es. Y aunque has tardado afortunadamente has aprendido el problema.
Un "técnico" de verdad me habría dado las gracias por el tiempo invertido en explicarle en vez de ofenderse porque dije "barbaridad"
#97 ... Dejando a un lado el ataque por lo personal, que ni viene a cuento ni es fundado... (sabía que tarde o temprano tirarías por ahi).
He reconocido mi error, y te aseguro que no me he dado cuenta de algo tan obvio hasta hace un rato.
De hecho me extraña que nadie me hubiese comentado esta vulnerabilidad antes, teniendo en cuenta que algunos expertos hicieron test de histogramas, de bits y más historias hasta hackearlo con exito.
#97 (A ver, que diga eso un tío que trollean en envíos y comentarios como en meneame.net/story/ricardo-galli-llama-gilipollas-microsiervos-porque-ne (junto con su pareja) es de risa.)
Parece que andas algo dolido con esa noticia . Que el dueño de la pagina se tenga que camuflar en un nick desconocido y encima contar con los votos de toda su mafia si es de risa chico .
#38 Interesante comentario, no conocía la historia del crackeo de ReCaptcha por la gente de 4chan. Atención a las capturas del programa que hicieron para la ocasión.
#44 Por lo que yo se, un bloguero bastante activo y agradable que un buen día dejó de dar señales de vida. Lo he perdido la pista tanto pasada como presente.
Su blog era muy leído, y al quedarse parado hubo mucho ruido preguntando por Javi Moya, incluso hubo quien hablaba de que había muerto (lo cual cogió fuerza cuando no se renovó el dominio del blog, aunque hoy vuelve a estar activa).
De ahí que #38 se emocione al ver una respuesta suya.
GONZO, tío, admite tu derrota. Yo entiendo que un programa hecho por tí, con todo tu cariño y esfuerzo, es casi como un hijo. Pero el buen programador debe darse cuenta de sus errores, y saber cuándo algo que ha hecho no funciona bien.
Todos te están diciendo que tu captcha es inseguro. Yo también te lo digo (sin tener ni idea de captchas ni de reconocimiento de formas, pues es innecesario).
#99 No es ningun producto, es software libre gratuito cuyo desarrollo está abierto a cualquiera de vosotros.
Y sobre lo obvio... pues si, la verdad, me ha costado verlo de tan obvio que es. No imaginé que podria merecer la pena hacer muchas peticiones para un solo acierto. Sobre todo sin ningun control de IP o sesion.
#95 Me corrijo, para calcular la media de acierto no hay que dividir entre dos (se me metió en la cabeza).
Entonces repito... si consigo aumentar el repertorio a 200 imagenes (entre animales y objetos) y presentando 2 en cada test, por fuerza bruta se acertaría solo 1 de cada 40.000 intentos, de media.
¿Os parece un ratio de acierto razonablemente seguro?
Nota al autor del blog: muy bueno el "post", pero por favor, pásale el corrector antes de publicarlo o bien envía menos mensajes de texto por el móvil, no podemos permitir que tal patada a la lengua castellana de la moda de los SMSs llegue a los blogs.
la genialidad no os desvieis, es pensar algo tan simple como aprovecharse de un captcha para digitalizar libros, no si el sistema es el idoneo o no como captcha
¿Por qué destrozan nuestro querido idioma? He tenido que parar de leer. No soporto esa mierda de escritura.
Y digo yo, ¿a este tio qué cojones le importa que se digitalice un libro si no sabe ni escribir?
#57 Si haces que una vez cumplidos tres errores, el captcha ya no te deje más intentos, ¿Qué tendrá de especial tu invento? Eso se podría hacer con cualquier tipo de captcha. Cualquier tipo de captcha de los "normales" (limitado a 3 errores) sería infinitamente más seguro que el tuyo.
#69 Otro que no lee bien Tras 3 intentos mostrará otro animal elegido aleatoriamente. No he dicho en ningun momento que la prueba se termine o bloquee.
Aun así, un animal es infinitamente más comodo, agradable y rapido de rellenar. Por no decir de que es infinitamente más seguro en comparacion con un codigo alfanumerico. Aunque no te parezca nada de especial.
#70 Tu captcha sigue teniendo limitaciones. La más básica es el número de animales diferentes que puede llegar a conocer una persona normal y corriente, lo que limita muchísimo los resultados a introducir.
Si haces que cada tres intentos fallidos aparezca una nueva imagen, es solo cuestión de tiempo que un programa que haga la función de introducir los cien nombres de animales que suele conocer una persona normal acertara por casualidad en uno de los tres intentos.
Sigo sin ver qué tiene de mejor tu captcha comparado con cualquiera de los "normales". Espero que ya hayas visto que de infalible nada, además sería mucho más fácil de rebentar que un captcha alfanumérico.
#70 No quería meterme en la discusión, pero lo voy a hacer. Vamos a ver, si entras en la demo de tu captcha http://www.teoriza.com/captcha/example.php y decides responder siempre el mismo animal (por ejemplo gato) tardarás poco en pasarlo.
Lo he probado dos veces: en la primera, la imagen del gato apareció en la primera ocasión (pura casualidad), en la segunda apareció en la 52ª ocasión. Si escribiéndolo a mano no tardé más de 2 minutos en acertarlo, con un algoritmo lo podrías hacer en "cero coma".
Como te dicen por ahí arriba el problema está en el tamaño de los posibles resultados (30 en este caso). En el caso de letras y números, las combinaciones son muchísimo más elevadas.
editado:
Bueno, veo que ya has reconocido el error en #79. Enhorabuena y a seguir trabajando
Yo no se se me escapa algo pero acabo de realizar el siguiente experimento ,he abierto el simulador del capthca he tapado la foto y a todo respondia"leon"en un minuto he acertado 4 veces,el sentido comun dice q no es muy seguro no?
#76 Pero es que todavía no lo has cogido!! Si pones 3 veces leon, el sistema, que además de un contador, tendrá un detector de mala leche, generará siempre un elefant3, para que no aciertes nunca
#78 el que no lo has cogido eres tu porque hasta el autor ya ha reconocido donde esta el errorlo de escribir solo "leon"lo hago yo porque s una forma facil de visualizar el problema nada me impide cambiar de animal en cada intento y las posibilidades de acertar serian las mismas
tienes razon coyotecordoba, a veces la gente no lee bien el articulo.
es la doble funcion de recapcha lo que le hace realmente original y util a la vez
Ejem, no es por joder la marrana pero NO FUNCIONA correctamente, yo registrandome con otras cuentas en meneame, he metido a posta palabras que se que estaban mal (no eran las del captcha) y me lo dio por bueno.
No es una idea tan genial, sinceramente, no deja de ser una mejora del captcha, tiene que haber algo mas USABLE. La gente con dificultades visuales estan simpelmente apartadas de miles de webs por usar esa "idea tan genial"
#13 no tehas enterado la idea genial no es que sea una mejora en el sistema de seguridad sino que el mismo sistema de seguridad tiene ahiora una segunda funcion muy util que es ayudar a digitalizar libros antiguos
El detalle es que una parte es la que esta para comprobar que eres una persona la otra es para que "colabores" con la funcion del OCR
Si la metes mal, simplemente no lo sabra y le dara igual, quedara almacenado en una base de datos que un usuario creia que esa palabra era X mientras que otros usuarios diran que es Y
Como la mayoria de la gente dira que es Y, utilizaran Y para hacer la traduccion....pero lo que es a ti no te penalizarian de ninguna forma
#13 la gente con deficiencias visuales puede hacer click en el botón del altavoz y el captcha pasará a ser una prueba auditiva. De hecho, reCAPTCHA es de las mejores soluciones que conozco porque te proporciona (sin tu tener que tocar nada ni preocuparte por ello):
* Una versión de CAPTCHA normal y corriente.
* Una versión de CAPTCHA para aquellos usuarios que no tienen Javascript o usan NoScript.
* Una versión de CAPTCHA para usuarios con deficiencias visuales.
Y todo eso sin tener que modificar el código, tan solo haciendo una llamada a una librería que ellos mismos proporcionan en diferentes lenguajes de programación.
Joder, no sé cómo varios webmasters (entre ellos el del artículo) dicen que han usado reCAPTCHA y no saben de qué va. ¿Es que no leen lo que se descargan e instalan en sus webs?
Pero si el captcha absurdo de megaupload de 3 letras cambia aleatoriamente a cada fallo y hay mil programas que se lo saltan Cambiar aleatoriamente de loquesea no es garantía de invulnerabilidad. Y no hace falta ni ser técnico para verlo
Creo que no eran libros antiguos sino ediciones antiguas de "The new york times".
Sobre el tema de la "segunda palabra" tampoco es así, sino que de una palabra se sabe lo que es, y la otra es la que hay que escribir "de nuevas" pero no es necesariamente la segunda.
pues a mi me parece una pasada la idea de los tios estos, yo mismo he utilizado este captcha en numerosos sitios INCLUSO MENEAME LO UTILIZA!! , y sin saberlo he estado colaborando con la traduccion digital de libros.. la caña!!!
Dios mio!!! Qué idea más sencilla, una palabra es un escaneo de libros antiguos!
Ahí va otra idea sencilla: en vez de escaneres de huellas dactilares, podríamos poner una huella dactilar y una prueba carbono catorce que determine tu edad exacta, la compare con fósiles aleatorios de especies extintas y multiplique las edades, las reduzca a codigo binario y te de la suma de los 3 primeros dijitos.
Comentarios
Y a mí me encanta como JDonwloader se salta todas las captchas a la primera. Salen los números y letras en negrita y a bajar.
#5 Bueno, pues ahora que hotfile ha cambiado a recaptcha, veremos que hace jDownloader y si es tan bueno como dice el post
#7 El post no dice que reCAPTCHA sea mejor en su función de CAPTCHA, sino que además, utiliza al usuario para reconocer palabras escaneadas de libros antiguos (la segunda palabra) y así poder digitalizarlo.
#8 yo me fijé, pero es un nombre más común de lo que crees.
#7 incluso sin probarlo puedo decirte que ya se lo salta.
#7, #16: recaptcha es probablemente uno de los captchas mas faciles de saltarse del mundo !! la primera palabra suele ser muy simplona y para la segunda acepta errores porque no conoce la solucion... y practicamente no modifica las imagenes para confundir al OCR
#24 De hecho, ayer mismo con la versión beta de jDownloader (que actualiza plugins casi todos los días) ya descarga de hotfile que usa reCaptcha...
#5 Vale. Pero léete el artículo, porque no habla de eso.
#10 Ah, pero los artículos meneados se leen?
#5 ¿Jdownloader se salta recaptcha?
eso de genialidad habria que ponerlo entre dicho..
porque yo por lo menos he visto desde hace tiempo cosas por el estilo.
rallas horizontales, verticales, cruzadas, letras deformadas etc..
pero como bien dice #5 el jdownloader se las cepilla todas, y he de añadir que Tucan tambien
#59 otro que no ha entendido el articulo
#5 como como? No quiero parecer tonto pero eso no lo he entendido. Yo utilizo JDownloader y no entiendo, qué captchas se salta?
Gracias.
#39 No tienes mucha idea de seguridad. Sin contar con los poblemas de idiomas diferentes, o que no sepan escribir correctamente tu algoritmo no es nada seguro.
La seguridad de éstos está basado en las combinaciones posibles para evitar los ataques por fuerza bruta (el más sencillo de los ataques). ¿Cuántas fotos de animales tienes? ¿1.000? ¿10.000? ¿100.000? Eso es ridículo y fácil de romper, cuando en un captcha de texto con sólo 6 letras como máximo tienes al menos 26^6 combinaciones(es decir más de 300 millones diferentes).
¿Tienes fotos de 300 millones de animales diferentes? ¿la gente conoce como se llaman esos 300 millones de animales diferentes? ¿son fácilmente distinguibles? ¿saben como escribirlas?
Y resolvieses todos los problemas anteriores todavía te queda que necesitas 500 GB para alcenarlas. Y todavía otra más grave, con esas imagenes se puede hacer una base de datos que detecte automáticamente por análisis de imágenes. Es muy simple cuando tienes los originales, aunque te hagan mil modificaciones (es la base de la los watermarks y la esteneografía en general).
Así que antes de decir tantas tonterías estudia un poco más, y entenderás por qué ese método no puede ser usado (y por eso no lo usan ningún sitio "interesante" de romper).
Entiendo que votéis positivo a #42 , pero antes de votar negativo a #39 aconsejaría leer el texto que sale cuando dejas el ratón encima del botón de voto negativo.
#42 Creo que estás varios pasos atrás sobre Animal Captcha. Desde luego no te has leído nada sobre como funciona.
Cada imagen generada por Animal Captcha es ÚNICA y aleatoria. Quizá has pensado en la sencillez de presentar una imagen tal cual... pero esto es muy sencillo, ni si quiera se me ocurrió esta posibilidad.
Te doy una pista, si te fijas en cada imagen hay fundido otro animal, elegido aleatoriamente y girado aleatoriamente, con una transparencia aleatoria también. (Y esto teniendo en cuenta que he desactivado los polígonos y deformaciones aleatorias, ya que no es necesaria tanta seguridad).
Sería interesante que leyeses un poco antes de disparar tan rápido
Por cierto, animal captcha solo tiene 30 imágenes. No me he molestado en buscar más, para qué si son únicas y aleatorias... Como prueba de concepto es suficiente, incluso yo lo uso en producción.
Un saludo,
Anon delivers! #39 -> #42
Archirepetida: http://meneame.net/search.php?q=recaptcha
La voté sin leer los comentarios, pero es DUPE clarísima, como dice #6.
#6 #17 Parece que a la gente se la suda que sea duplicada. Ha llegado a portada.
#35 A mí lo que me parece más flipante es como todo el mundo comenta la noticia hablando de como saltarse el captcha, cuando el tema no va a de eso.
Aquí la noticia no se la ha leído ni la mitad de los que han comentado .
la idea tampoco es muy simple
#65
El que no lees eres tú (y lo malo es que no te das cuenta de tu ignorancia). El pseudocódigo de #53 ya asume que cambia el animal en cada intento (que es lo que hay que hacer, como mínimo).
De hecho los cambies o no las probalidades de acertar son 1/30, eso es ridículo. Y aunque sea 1/1000, cosa que ni siquiera podrás llegar con animales diferentes.
#64 No insulto a nadie, así que no veo lo de "perder" las formas. Sólo digo y explico la barbaridad que está diciendo este señor, y es obvio al que conozco fundamentos básicos de seguridad, o de estadística de 3ro. de instituto. "Las personas son respetables no las opiniones, hay ideas y opiniones que son una mierda".
#54
Sigue con las ridiculeces, ¿has sentido hablar de redes de bots descifrando captchas? ¿o de tor? Con tu algoritmo tan seguro se necesitan sólo unas pocas máquinas o IPs, si bloqueas la IP al tercer intento bastan con 10 máquinas para no disparar el bloqueo (y las molestias que generas a los usuarios que se equivocan con los animales).
La seguridad de un algoritmo depende fundamentalmente del tamaño del "espacio", el "inseguro" md5 está 2^82, el recaptcha en más o menos 2^30, el tuyo tan seguro en 2^5.
Sí señor, soy un ignorante por creerme esos números.
#58 Yo no te he llamado ignorante. En cambio tu en #42 has dicho que mis argumentos son "barbaridades" y una "tonteria".
A mi solo me valen argumentos y demostraciones.
Debes saber que antes de ti han crackeado Animal Captcha varios usuarios muy amables y extremadamente expertos en comparacion contigo. Se curraron codigos para demostrarme que las antiguas versiones de Animal Captcha eran inseguras. Sin embargo la actual si lo es (hasta que se demuestre lo contrario).
¿Tu que argumento das? A parte de llamar "tonterias", que sin duda recibes votos, pero no te dan la razón.
Ni Tor ni redes de bots tienen nada que ver. No sabes de lo que hablas. La unica forma de crackear el concepto de Animal Captcha es demostrar que un sistema es capaz de identificar el patron de una imagen del mismo animal. Qué tendrá que ver Tor o los bots!
#58 Hasta yo que no se del tema me estoy enterando tiene su logica si me he enterado bien no se trata de saltarte un captcha en particular que seria dificil por fuerza bruta sino de cuantos puedes saltarte en un dia (por poner un limite de tiempo),vamos a probar con una analogia es dificil que yo pueda acertar en que dia de mes nacio un usuario de meneame en concreto pero si me dejas un intento por usuario te aseguro que acertare alrededor de un 1/30 del total,supongo que es el mismo concepto
#66 Si al tercer intento el animal cambia a otro aleatorio... no hay fuerza bruta que valga.
#68 ¿Pero cuantos animales hay en total en el sistema? Si empiezo a probar los 30 animales por orden a uno por segundo, ¿cuanto tardaré en colarme? Igual se me escapa algo simple, pero parece súmamente básico.
El que redactó el artículo padece el "mal" de la q.
#83 Daria igual, porque es un asunto estadistico.
Imaginate que creas una lista de los nombres con los 30 animales. Y realizas peticiones por fuerza bruta con un animal aleatorio de la lista como respuesta correcta...
El resultado estadistico a fin de cuentas sería 1 acierto por cada 15 intentos de media. (tal y como estan las cosas ahoras).
me meo en vuestros captchas:
el mejor captcha es el que protege algo que apenas tiene valor. Durante mucho tiempo codinghorror.com funciono con un catpcha que consistía en una imagen en la que siempre ponía "orange". Simplemente con eso se defendió de todo tipo de ataques automáticos que simplemente rellenan los formularios que van encontrando por internet. Ahora ya lo han cambiado por recaptcha, imagino que alguien se molesto en currarse un bot para hacer spam específicamente en ese sitio.
El captcha de google ha sido siempre de los mas difíciles de romper, pero también ha sido el que mas se ha intentado, y al final se han conseguido romper, pero la verdad es que ningun captcha es irrompible, se puede llegar al extremo de presentar el captcha a un usuario que esta buscando otra cosa como propio y utilizar de este modo a alguien que no lo sabe para solucionarte la papeleta. Por ejemplo a alguien que este buscando warez le presentas un captcha de google que luego utilizas para crear una cuenta.
Llegado este punto, jamas utilizaría recaptcha para proteger ningún sitio, porque una vez este roto (si es que no lo esta ya), automáticamente todos los sitios protegidos por el dejarían de estarlo.
En sitios pequeños es mejor uno simple pero no habitual, que el que use el resto del mundo pero sea común.
Quizá otra solucion es mostrar 2 animales y tener que acertar los dos... De esta forma se aumentaria exponencialmente el numero de respuestas posibles. Si hay 30 animales distintos = 900 respuestas posibles. Si aumentamos el repertorio a 50 animales (dudo que se pueda más) serían 2500 respuestas posibles, la media seria un acierto por cada 1250 intentos.
Pero en fin, me habeis pillado con este bug de fuerza bruta tan obvio y os lo agradezco de corazón
#81 Y digo yo una cosa. ¿Y si se impide que eso pueda hacerse? Es decir, si yo escribo gato y fallo, que la siguiente imagen nunca sea un gato.
#83 Pues entonces vas probando con gato, perro, caballo, mosca, etc... y en alguna acertarás.
#81, si hace eso, pongamos con 6 animales a la vez, (como 6 letras suele tener un captcha), puede que lo convierta en bastante más seguro, pero sería una tocada de huevos para el usuario. ¿quién ser registraría, postearía... en un sitio que tenga que escribir el quijote para hacerlo?
#85 Con 6 animales desde luego yo no Sería un coñazo.
Con 2 animales yo creo que sería aceptable, incluso más comodo que un captcha alfanumerico. 3 Animales creo que seria demasiado molesto.
Quizá la unica forma de llevar este concepto a buen puerto es expandir el repertorio a objetos, por ejemplo. Silla, puerta, ventana, sofá, television...
Quizá podría hacer una web colaborativa donde la gente pueda añadir imagenes y ponerlos a prueba y añadir solo los que tengan un acierto estadistico razonable.
A ojo, entre animales y objetos, quizá podriamos alcanzar las 200 imagenes con acierto fiable. Con el sistema de presentar 2 imagenes a la vez, serian 40.000 respuestas posibles. 1 acierto por cada 20.000 intentos.
mmm...
#91 Sigues limitandote. El problema es que no ves que el número de objetos, si no los multiplicas entre sí, ganas muy poco. Es decir, la gente colabora, añades mesas, sillas, fotos de personas famosas, etc.., ¿Cuántas fotos vas a acumular? 10000?? si pones 2 fotos a la vez. tus combinaciones siguen siendo POCAS!!!!, si pones 6 al mismo tiempo, es cuando de verdad creas un número suficiente de combinaciones, que sea complejo acertar.
Por otra parte, creo que ya lo han dicho más arriba, pero limitas el número de usuarios por idioma, por lo que deberías permitir que se eligiese idioma y tener los distintos nombres para cada uno de ellos (si quieres internacionalizarlo).
#93 Ya hay distintos idiomas implementados (ingles y español) y es muy facil añadir más (tan solo añadiendo nombres en los archivos). De hecho algunos animales tienen distintas respuestas valiadas (boa, serpiente, culebra, que son lo mismo).
Sobre el ratio de acierto, en #91 comento que sería posible alcanzar un repertorio de 200 imagenes, mostradas de 2 en 2 se aumentaria exponencialmente el numero de posibilidades. Para un solo acierto habria que hacer al menos 20.000 peticiones de media. Si hubiese que acertar 3 imagenes (puede que un poco molesto) las posibilidades de acierto seria una cada 4.000.000 de peticiones.
#93 con 200 imágenes, pidiendo dos de ellas, como dice #91, estaríamos hablando de 40000 combinaciones posibles. Ha habido y hay muchos captchas de 3 caracteres, que dan (26+10)^3 = 46656 combinaciones, que se usan en muchos sitios.
Esa opción la veo muy razonable, dependiendo del formulario que se quiera proteger. Es un captcha sencillo, y no todo lo que se programe hay que hacerlo con industrial strength_.
#81, veo que me votas negativo en #64 y en cambio propones aquí la misma solución que te he regalado yo en ese comentario. Deberías cuidar tu arrogancia, aunque te felicito por tu cambio de actitud.
pero es cojonuda
#65 Una cuestión, por si sirve de algo (aunque sea para que me aclares mejor cómo funciona tu sistema, que explicado como lo has hecho no da ninguna garantía)... si tras tres intentos fallidos cambias de animal, ¿qué solucionas?
Me explico: sé que uno de tus 30 animales es el gato, así pues, mi súper-cracker algoritmo va a intentar siempre con "gato".
Empieza y le sale una oveja. Mi algoritmo le dice 3 veces al tuyo que es un gato, entonces le cambias el animal.
Ahora le sale un águila, y pasa lo mismo.
En un rato, aleatorio, llegará a salir un gato, y mi algoritmo habrá funcionado.
Si uso este súper-algoritmo en una red de máquinas, conseguiré muchos aciertos.
ok, besitos *
Puede que os guste Animal Captcha http://gonzo.teoriza.com/animal-captcha
Que conste que es soy el autor (lo he publicado como Software Libre), y por lo tanto soy el menos indicado para opinar... pero lo cierto es que es invulnerable y está dando muy buenos resultados entre el publico, desde hace un mes lo tengo funcionando con usuarios reales.
Les sorprende ver un animal como captcha, y el resultado final es positivo.
#34 tu sistema no funciona del todo bien, me salió un ave de rapiña y puse "Esperanza Aguirre" y me dijo que no, que era "buitre". Debería aceptar sinónimos . Lo mismo me pasó con "De la Vega"
#34 tu captcha es tan fácil de superar como el mío (super simple) y eso que no uso imagenes y se imprime el código directamente: http://lab.neo22s.com/mathCaptcha/
Es un captcha que te puede ir bien para sitios pequeños como uso en Open Classifieds. Pero vamos lo de "irrompible" para nada.
Tal como dice erlang mira todas las limitaciones que te ha sacado en un momento.
#49 ¿Tanto cuesta leer un poco?
Cada imagen que presenta Animal Captcha es UNICA Y ALEATORIA. Esto se hace mediante una tecnica que mezcla y fusiona aleatoriamente dos imagenes de dos animales aleatorios.
Es decir, ningun sistema informatizado es capaz de identificar un animal de Animal Captcha, aun teniendo pre-analizados todas las imagenes matrices de Animal Captcha (que por cierto son descargables facilmente).
#52 A ver, no digas barbaridades por favor.
Tu software ahora mismo tiene 30 animales diferentes. Eso quiere decir que de media se necesitarán 30 intentos para acertar con el captcha, un algortimo tan simple como
for i = 0 to N
get html
if post "gato"
profit!
Elije N como quieras, el numero de intentos que harás. Supongamos que tu servidor es lento y no da más de una conexión por segundo. Eso significa que ahora mismo con 86400 conexioness (i.e. un día desde un ordenador) se acertarán 2880 veces.
Sí señor, muy seguro. Y si subes 1000 imágenes de 1000 animales diferentes se acertarán 86 veces, y no creo que haya humano "normal" capaz de reconocer y nombrar corectamente a 1000 animales diferentes.
Venga, no hagas afirmaciones ridículas, que las "ciencias de la computación" no es tan nueva y ya hay mucha cosa hecha
#53 No me puedo creer que con la inteligencia que tienes no se te ocurra lo siguiente.
- Un limite de 3 intentos por animal y tras superar el limite generar otra imagen del animal unica y aleatoria.
Extremadamente fácil de programar, son 10 minutos. Y esto mantendría el concepto de Animal Captcha como "invulnerable".
¿De verdad que no se te ha ocurrido?
He venido aquí a decir básicamente lo mismo que #56 y #53, que tienen razón aunque en el caso de #53 le pierdan las formas.
Básicamente, #54, lo importante del asunto no es cuántas combinaciones de imágenes seas capaz de generar, sino cuántas combinaciones de inputs distintos puedes conseguir de tus usuarios (no me voy a explicar más porque creo que #56 lo deja bastante claro).
La única forma de arreglar tu sistema sería aumentando el número de inputs distintos presentándole a los usuarios "tiras" de 10 o 15 animales tomados cada uno de un conjunto de 20-30 elementos reconocibles. Podrías incluso utilizar elementos para evitar que el usuario tuviera que teclear.
En cualquier caso, me temo que no has inventado nada nuevo
#64 ¿De verdad que no has leido mi comentario #54 y #57 ??
He dicho que mañana mismo haré un contador de intentos introducido en la sesion PHP y tras 3 errores se cambiará el animal. Y a tirar millas.
Así se resuelve el bug de fuerza bruta elemental que comentais, aunque es obvio que no rebate el concepto, pues es un pequeño detalle facilisimo de resolver. Para mi era obvio que llegada la necesidad el webmaster implemente esta protección.
#52 ¿Insuperable dices? Cuántos nombres de animales diferentes suele conocer la gente común ¿Unos cien?, ahora creamos un programa que escriba uno por uno esos cien nombres (fuerza bruta). Tu captcha infalible tardará en ser rebentado exactamente el tiempo que he tardado en escribir este comentario
#34 de paso corrige la frase en inglés:
Error. You are a machine? -> Error. Are you a machine?
#73 Sobre las mejoras creo que son evidentes, las explico en mi post.
Sin embargo he de reconocer que teneis razon en vuestro planteamiento. Y aunque no me han gustado las formas de erlang, debo reconocer que teneis razon si se dá ese tipo de ataque.
El ratio de acierto de un codigo alfanumerico (con miles de respuestas) es mucho mayor que el ratio de tener solo 30 animales distintos.
Y puede que en algun caso merezca la pena hacer 15 peticiones por cada 1 acierto.
La solucion entonces sería aumentar el repertorio de animales un poco más, añadir objetos, deportes... . Y añadir bloqueos de IP y controles de sesion para evitar peticiones masivas. En fin, no sé que pensar, porque realmente todos los captchas tienen este bug, pero entre solo 30 animales es muy facil acertar.
#75 Corregido gracias.
#77 te me has adelantado
#79 Muy bien, el primer paso es reconocerlo.
El segundo, es ponerte manos a la obra para mejorarlo, o idear una forma diferente (y original) de implementar un captcha
#79
> Y aunque no me han gustado las formas de erlang, debo reconocer que teneis razon si se dá ese tipo de ataque.
A ver, que diga eso un tío que trollean en envíos y comentarios como en Ricardo Galli llama gilipollas a Microsiervos porque nunca mencionan a Menéame
Ricardo Galli llama gilipollas a Microsiervos porq...
twitter.comEn #53 no insulto nada, simplemente que te explico las barbaridades que estabas diciendo, que al final has reconocido que tengo razón 100%. Objetivamente son barbaridades y objetivamente eres un ignorante en el tema de seguridad, complejidad y captchas. Eso es objetivo y no es ningún insulto (todos somos ignorantes en millones de temas salvo unos pocos). Además debo agregar que además de responder borde [*] has tardado bastante en darte cuenta del problema.
[*] Por ejemplo en #61 La unica forma de crackear el concepto de Animal Captcha es demostrar que un sistema es capaz de identificar el patron de una imagen del mismo animal. Qué tendrá que ver Tor o los bots! ¿No te da ni un poquito de vergüenza haber escrito eso sin siquiera pedirme disculpas por semejante gilipollez de respuesta?
Pero eso no quita que hayas votado negativo a ese comentario donde te explica todo y que no te haya privado de decir No me puedo creer que con la inteligencia que tienes no se te ocurra lo siguiente...
Pero luego te haces el "ofendido". Si no te gustan que opinen críticamente a lo que escribes haz dos cosas:
1. No escribas, o
2. asegúrate de no afirmar barbaridades, especialmente en temas técnicos y objetivos.
También deberías entender que en discusiones técnicas, y sobre todo importantes como "seguridad", no hay que andar con tonterías, si alguien dice una barbaridad (como has hecho tú) hay que decirlo. Eso sí, con argumentos, que es lo que hice en #53 o #58
Y en ninguno de esos verás que te insulté o te traté de ignorante. Dije literalmente que los que afirmabas del algoritmo era una barbaridad. Objetivamente lo es. Y aunque has tardado afortunadamente has aprendido el problema.
Un "técnico" de verdad me habría dado las gracias por el tiempo invertido en explicarle en vez de ofenderse porque dije "barbaridad"
#97 ... Dejando a un lado el ataque por lo personal, que ni viene a cuento ni es fundado... (sabía que tarde o temprano tirarías por ahi).
He reconocido mi error, y te aseguro que no me he dado cuenta de algo tan obvio hasta hace un rato.
De hecho me extraña que nadie me hubiese comentado esta vulnerabilidad antes, teniendo en cuenta que algunos expertos hicieron test de histogramas, de bits y más historias hasta hackearlo con exito.
Y sobre daros las gracias tambien lo hice en #81
¿Que mas quieres?
#97 (A ver, que diga eso un tío que trollean en envíos y comentarios como en meneame.net/story/ricardo-galli-llama-gilipollas-microsiervos-porque-ne (junto con su pareja) es de risa.)
Parece que andas algo dolido con esa noticia . Que el dueño de la pagina se tenga que camuflar en un nick desconocido y encima contar con los votos de toda su mafia si es de risa chico .
¿Nadie lo ha visto? ¡Javi Moya ha comentado el post del blog!
#38 Interesante comentario, no conocía la historia del crackeo de ReCaptcha por la gente de 4chan. Atención a las capturas del programa que hicieron para la ocasión.
http://musicmachinery.com/2009/04/27/moot-wins-time-inc-loses/
Me gustaría que los de 4chan echasen un vistazo a mi captcha #34 son como una auditoria gratuita en Internet, menudos expertos...
#38 antes de hacer un chiste facil sobre su apellido ¿quién es Javi Moya?
#44 Por lo que yo se, un bloguero bastante activo y agradable que un buen día dejó de dar señales de vida. Lo he perdido la pista tanto pasada como presente.
Su blog era muy leído, y al quedarse parado hubo mucho ruido preguntando por Javi Moya, incluso hubo quien hablaba de que había muerto (lo cual cogió fuerza cuando no se renovó el dominio del blog, aunque hoy vuelve a estar activa).
De ahí que #38 se emocione al ver una respuesta suya.
Yo me cabo de acordar de los gatos y perros que puse hace tiempo Rapidshare y me entrao un cabreo...
GONZO, tío, admite tu derrota. Yo entiendo que un programa hecho por tí, con todo tu cariño y esfuerzo, es casi como un hijo. Pero el buen programador debe darse cuenta de sus errores, y saber cuándo algo que ha hecho no funciona bien.
Todos te están diciendo que tu captcha es inseguro. Yo también te lo digo (sin tener ni idea de captchas ni de reconocimiento de formas, pues es innecesario).
http://wappy.ws/google-inventando-nuevos-capchas.html
estos serán los próximos avances en captchas. Y estos si que son simples e inteligentes, no ese recaptcha.
#25 con dos opciones, un bot conseguiría acceder en el 50% de los casos así que no es tan factible.
Lo mejor eran los gatitos de rapidshare
#30 CATEGORIA GATOS YA!
#30 pues tienes mucha razón, pero el tema es que quieren investigar en esa dirección. De echo decían de poner varias, muchas, no dos, y jugar con elementos que los ordenadores no pueden leer que es lo que me parece interesante.
http://google.dirson.com/post/4344-nuevos-captchas-pajaro-orientado/
http://news.cnet.com/8301-17939_109-10222514-2.html
#25, pues Google compró reCAPTCHA hace poco, así que...
Me troncho con la historia del Animal Captcha.
Empezando porque este no es el sitio donde promocionar productos ni donde discutir sobre ellos.
Y terminando porque al primer comentario se tenía que haber terminado la discusión por lo obvio del tema.
#99 No es ningun producto, es software libre gratuito cuyo desarrollo está abierto a cualquiera de vosotros.
Y sobre lo obvio... pues si, la verdad, me ha costado verlo de tan obvio que es. No imaginé que podria merecer la pena hacer muchas peticiones para un solo acierto. Sobre todo sin ningun control de IP o sesion.
#95 Me corrijo, para calcular la media de acierto no hay que dividir entre dos (se me metió en la cabeza).
Entonces repito... si consigo aumentar el repertorio a 200 imagenes (entre animales y objetos) y presentando 2 en cada test, por fuerza bruta se acertaría solo 1 de cada 40.000 intentos, de media.
¿Os parece un ratio de acierto razonablemente seguro?
Nota al autor del blog: muy bueno el "post", pero por favor, pásale el corrector antes de publicarlo o bien envía menos mensajes de texto por el móvil, no podemos permitir que tal patada a la lengua castellana de la moda de los SMSs llegue a los blogs.
Lo digo por los cinco o seis "q" encontrados.
la genialidad no os desvieis, es pensar algo tan simple como aprovecharse de un captcha para digitalizar libros, no si el sistema es el idoneo o no como captcha
como todas las buenas ideas parece simple una vez que se conoce pero para llegar a ella hace falta muchísimo ingenio
¿Por qué destrozan nuestro querido idioma? He tenido que parar de leer. No soporto esa mierda de escritura.
Y digo yo, ¿a este tio qué cojones le importa que se digitalice un libro si no sabe ni escribir?
#59 ¿Pero es que nadie lee sobre el tema del que habla, las fuentes presentadas y ni si quiera el comentario justo encima?
Lee #54 Es facilisimo poner un limite de intentos y generar otro animal distinto. No rebate el concepto de Animal Captcha.
De hecho mañana mismo liberaré el nuevo codigo con el contador de intentos limitado a 3, bien sencillo.
#57 Si haces que una vez cumplidos tres errores, el captcha ya no te deje más intentos, ¿Qué tendrá de especial tu invento? Eso se podría hacer con cualquier tipo de captcha. Cualquier tipo de captcha de los "normales" (limitado a 3 errores) sería infinitamente más seguro que el tuyo.
#69 Otro que no lee bien Tras 3 intentos mostrará otro animal elegido aleatoriamente. No he dicho en ningun momento que la prueba se termine o bloquee.
Aun así, un animal es infinitamente más comodo, agradable y rapido de rellenar. Por no decir de que es infinitamente más seguro en comparacion con un codigo alfanumerico. Aunque no te parezca nada de especial.
#70 me han dicho que por fin has encontrado trabajo en aprilia, enhorabuena!
#70 Tu captcha sigue teniendo limitaciones. La más básica es el número de animales diferentes que puede llegar a conocer una persona normal y corriente, lo que limita muchísimo los resultados a introducir.
Si haces que cada tres intentos fallidos aparezca una nueva imagen, es solo cuestión de tiempo que un programa que haga la función de introducir los cien nombres de animales que suele conocer una persona normal acertara por casualidad en uno de los tres intentos.
Sigo sin ver qué tiene de mejor tu captcha comparado con cualquiera de los "normales". Espero que ya hayas visto que de infalible nada, además sería mucho más fácil de rebentar que un captcha alfanumérico.
#70 No quería meterme en la discusión, pero lo voy a hacer. Vamos a ver, si entras en la demo de tu captcha http://www.teoriza.com/captcha/example.php y decides responder siempre el mismo animal (por ejemplo gato) tardarás poco en pasarlo.
Lo he probado dos veces: en la primera, la imagen del gato apareció en la primera ocasión (pura casualidad), en la segunda apareció en la 52ª ocasión. Si escribiéndolo a mano no tardé más de 2 minutos en acertarlo, con un algoritmo lo podrías hacer en "cero coma".
Como te dicen por ahí arriba el problema está en el tamaño de los posibles resultados (30 en este caso). En el caso de letras y números, las combinaciones son muchísimo más elevadas.
Yo no se se me escapa algo pero acabo de realizar el siguiente experimento ,he abierto el simulador del capthca he tapado la foto y a todo respondia"leon"en un minuto he acertado 4 veces,el sentido comun dice q no es muy seguro no?
#76 Pero es que todavía no lo has cogido!! Si pones 3 veces leon, el sistema, que además de un contador, tendrá un detector de mala leche, generará siempre un elefant3, para que no aciertes nunca
#78 el que no lo has cogido eres tu porque hasta el autor ya ha reconocido donde esta el errorlo de escribir solo "leon"lo hago yo porque s una forma facil de visualizar el problema nada me impide cambiar de animal en cada intento y las posibilidades de acertar serian las mismas
#92, bien me ha faltado el ironic, pensé que con el guiño bastaba, pero veo que mitad de semana y las 18:16, la gente anda espesa del todo.
tienes razon coyotecordoba, a veces la gente no lee bien el articulo.
es la doble funcion de recapcha lo que le hace realmente original y util a la vez
Ejem, no es por joder la marrana pero NO FUNCIONA correctamente, yo registrandome con otras cuentas en meneame, he metido a posta palabras que se que estaban mal (no eran las del captcha) y me lo dio por bueno.
No es una idea tan genial, sinceramente, no deja de ser una mejora del captcha, tiene que haber algo mas USABLE. La gente con dificultades visuales estan simpelmente apartadas de miles de webs por usar esa "idea tan genial"
#13 Esto no se trata de acertar para pasar el formulario. Si has escrito mal las palabras, no te castigarán sin recreo.
#13 no tehas enterado la idea genial no es que sea una mejora en el sistema de seguridad sino que el mismo sistema de seguridad tiene ahiora una segunda funcion muy util que es ayudar a digitalizar libros antiguos
#13
No lo has entendido bien...
El detalle es que una parte es la que esta para comprobar que eres una persona la otra es para que "colabores" con la funcion del OCR
Si la metes mal, simplemente no lo sabra y le dara igual, quedara almacenado en una base de datos que un usuario creia que esa palabra era X mientras que otros usuarios diran que es Y
Como la mayoria de la gente dira que es Y, utilizaran Y para hacer la traduccion....pero lo que es a ti no te penalizarian de ninguna forma
#13 la gente con deficiencias visuales puede hacer click en el botón del altavoz y el captcha pasará a ser una prueba auditiva. De hecho, reCAPTCHA es de las mejores soluciones que conozco porque te proporciona (sin tu tener que tocar nada ni preocuparte por ello):
* Una versión de CAPTCHA normal y corriente.
* Una versión de CAPTCHA para aquellos usuarios que no tienen Javascript o usan NoScript.
* Una versión de CAPTCHA para usuarios con deficiencias visuales.
Y todo eso sin tener que modificar el código, tan solo haciendo una llamada a una librería que ellos mismos proporcionan en diferentes lenguajes de programación.
Joder, no sé cómo varios webmasters (entre ellos el del artículo) dicen que han usado reCAPTCHA y no saben de qué va. ¿Es que no leen lo que se descargan e instalan en sus webs?
Pero si el captcha absurdo de megaupload de 3 letras cambia aleatoriamente a cada fallo y hay mil programas que se lo saltan Cambiar aleatoriamente de loquesea no es garantía de invulnerabilidad. Y no hace falta ni ser técnico para verlo
Creo que no eran libros antiguos sino ediciones antiguas de "The new york times".
Sobre el tema de la "segunda palabra" tampoco es así, sino que de una palabra se sabe lo que es, y la otra es la que hay que escribir "de nuevas" pero no es necesariamente la segunda.
Pues creo que lo va o a comprado Google
Al que le interese el tema, en este vídeo se explica bastante bien ( si no recuerdo mal lo hace el mismo creador), además de tener su gracia
Nunca se me hubiera ocurrido semejante cosa. Que increíble. Pensar que yo mismo estuve ayudando a digitalizar libros...! wow!
pues a mi me parece una pasada la idea de los tios estos, yo mismo he utilizado este captcha en numerosos sitios INCLUSO MENEAME LO UTILIZA!! , y sin saberlo he estado colaborando con la traduccion digital de libros.. la caña!!!
Me encanta la idea
Genial! no te acostarás sin saber algo nuevo cada dia
Esto lleva mucho tiempo, no?
Vamos, q yo estoy cansado de verlo por (casi) todas partes
HOYGAN, q yo tb tengo un blog!!!!! Y SMS!!!!! Y Java en el movil. Puedo subir un post a portada????
Es increible lo que se consigue a través de internet
Dios mio!!! Qué idea más sencilla, una palabra es un escaneo de libros antiguos!
Ahí va otra idea sencilla: en vez de escaneres de huellas dactilares, podríamos poner una huella dactilar y una prueba carbono catorce que determine tu edad exacta, la compare con fósiles aleatorios de especies extintas y multiplique las edades, las reduzca a codigo binario y te de la suma de los 3 primeros dijitos.