¿Alguien que usa Asirra en producción? ¿Existen alternativas similares?

No relacionado específicamente con Asirra, pero sobre CAPTCHA en general, elaboraré el punto de @Graham y lo dirigiré a los siguientes enlaces:

• " ¿Se ha roto / pirateado / pirateado / OCR'd / derrotado / roto? " en SO
• Mi respuesta a "¿Se acerca el CAPTCHA no basado en imágenes?" en SO
• Presentación que di sobre este tema en OWASP en 2008
• La mejor idea hasta ahora (XKCD obligatorio)
• opinión de RSnake sobre otro tipo "nuevo" de CAPTCHA (pero en su mayoría aún se aplica a Asirra )
• Bruce Schneier , pero principalmente los comentarios

En caso de que estés perezoso, aquí están los aspectos más destacados ...
Las 3 formas generales de romper CAPTCHAs son:

• Implementación rota (por ejemplo, configuración incorrecta, configuración incorrecta, imágenes estáticas, exposición de la respuesta, etc.), pero probablemente no se aplique a Asirra, a menos que sea dependiente de la configuración
• Compatibilidad inversa inherente: si puede crear un programa para desenfocar algo que todavía todavía se puede leer , puedo compilar uno para desdibujarlo. I.e OCR es bastante bueno, al menos si la imagen es legible por un humano.
• Poner un humano en la mezcla, ya sea por:
  • Granjas de CAPTCHA: pagando a alguien una pequeña cantidad de dinero, hay un MERCADO para esto: He visto anuncios anunciados en paquetes de eBay de 1000 CAPTCHA "resueltos" por 4 $, con una confiabilidad equivalente% SLA
  • proxy de CAPTCHA, por ejemplo, puedes acceder a pr0n si resuelves este CAPTCHA ... o incluso haces un juego con él.

Para resumir (como lo he hecho a menudo en este tema):

  

CAPTCHA intenta resolver el problema incorrecto, y lo hace muy mal: incluso si funcionó a la perfección, el problema no es "quiero identificar quién es una computadora y quién es humano y permitir que solo los humanos utilicen mi sitio sin embargo quieren ", pero más bien" quiero evitar el uso indebido y las inundaciones en mi sitio ".
  No deberíamos intentar probar a los usuarios, deberíamos limitar lo que podrían hacer.

O incluso mejor:

  

La autenticación (o identificación) es un sustituto deficiente de la autorización.

Cualquier mecanismo de CAPTCHA se puede subvertir al encontrar una economía débil y dar a la gente una pequeña cantidad de dinero para resolver una gran cantidad de CAPTCHA.

Asirra realiza la validación del lado del cliente solo por conveniencia, es decir, puede diseñar una página web que evite que se envíe el formulario sin que se resuelva el captcha. Esto evita la molestia de navegar fuera de un formulario rellenado solo para que se le informe que el captcha falló.

En asirra, como lo describe la página de instalación, la seguridad real proviene del hecho de que el código que usted escribe en el back-end para realizar el procesamiento del formulario también debe afectar al servicio Asirra y asegurarse de que el formulario se haya enviado con un Boleto válido que se entrega a los clientes solo cuando se resuelve el desafío.

Por supuesto, como lo describen los carteles anteriores, esta "seguridad" solo dice que alguien o algo ha identificado 12 imágenes como gatos / perros. No hay una buena forma de saber, por ejemplo, si las fotos fueron realmente resueltas por una IA avanzada o por un chico en China que trabaja por $ 3 / h (consulte PixProfit.com)

El MSFT Ajax Toolkit tiene una implementación sin captcha que utiliza una variedad de medios transparentes para verificar un usuario. DEMO DE EJEMPLO

Este es un código bastante inteligente que puede incorporarse en otros sistemas para el ultra-bot-paranoide.

Asirra es utilizado por el Club Bing de Microsoft. enlace

enlace proporciona el servicio de Asirra pero su servicio es muy deficiente.