¿Alguien que usa Asirra en producción? ¿Existen alternativas similares?

2

El proyecto Asirra es una alternativa de Captcha que te muestra imágenes de gatitos y cachorros para defenderse de los robots y probar que el usuario final es un humano.

¿Alguien está usando Asirra (o algo similar) en producción? ¿Qué alternativas conoces?

enlace

Aunque me gustaría usar imágenes que no sean gatitos, noté que, desde el punto de vista de la implementación, se administra completamente a través del Javascript del lado del cliente. Pienso que este tipo de solución se agrietaría fácilmente con un método form.submit invocado manualmente.

¿Es esta técnica común en el mundo Captcha? ¿Hay alguna forma de controlar la lógica en el lado del servidor?

¿Qué piensa sobre su implementación, alternativas y cómo se podría hacer una versión más segura?

    
pregunta random65537 24.11.2010 - 02:45
fuente

5 respuestas

8

No relacionado específicamente con Asirra, pero sobre CAPTCHA en general, elaboraré el punto de @Graham y lo dirigiré a los siguientes enlaces:

En caso de que estés perezoso, aquí están los aspectos más destacados ...
Las 3 formas generales de romper CAPTCHAs son:

  • Implementación rota (por ejemplo, configuración incorrecta, configuración incorrecta, imágenes estáticas, exposición de la respuesta, etc.), pero probablemente no se aplique a Asirra, a menos que sea dependiente de la configuración
  • Compatibilidad inversa inherente: si puede crear un programa para desenfocar algo que todavía todavía se puede leer , puedo compilar uno para desdibujarlo. I.e OCR es bastante bueno, al menos si la imagen es legible por un humano.
  • Poner un humano en la mezcla, ya sea por:
    • Granjas de CAPTCHA: pagando a alguien una pequeña cantidad de dinero, hay un MERCADO para esto: He visto anuncios anunciados en paquetes de eBay de 1000 CAPTCHA "resueltos" por 4 $, con una confiabilidad equivalente% SLA
    • proxy de CAPTCHA, por ejemplo, puedes acceder a pr0n si resuelves este CAPTCHA ... o incluso haces un juego con él.

Para resumir (como lo he hecho a menudo en este tema):

  

CAPTCHA intenta resolver el problema incorrecto, y lo hace muy mal: incluso si funcionó a la perfección, el problema no es "quiero identificar quién es una computadora y quién es humano y permitir que solo los humanos utilicen mi sitio sin embargo quieren ", pero más bien" quiero evitar el uso indebido y las inundaciones en mi sitio ".
  No deberíamos intentar probar a los usuarios, deberíamos limitar lo que podrían hacer.

O incluso mejor:

  

La autenticación (o identificación) es un sustituto deficiente de la autorización.

    
respondido por el AviD 24.11.2010 - 13:46
fuente
6

Cualquier mecanismo de CAPTCHA se puede subvertir al encontrar una economía débil y dar a la gente una pequeña cantidad de dinero para resolver una gran cantidad de CAPTCHA.

    
respondido por el user185 24.11.2010 - 10:25
fuente
2

Asirra realiza la validación del lado del cliente solo por conveniencia, es decir, puede diseñar una página web que evite que se envíe el formulario sin que se resuelva el captcha. Esto evita la molestia de navegar fuera de un formulario rellenado solo para que se le informe que el captcha falló.

En asirra, como lo describe la página de instalación, la seguridad real proviene del hecho de que el código que usted escribe en el back-end para realizar el procesamiento del formulario también debe afectar al servicio Asirra y asegurarse de que el formulario se haya enviado con un Boleto válido que se entrega a los clientes solo cuando se resuelve el desafío.

Por supuesto, como lo describen los carteles anteriores, esta "seguridad" solo dice que alguien o algo ha identificado 12 imágenes como gatos / perros. No hay una buena forma de saber, por ejemplo, si las fotos fueron realmente resueltas por una IA avanzada o por un chico en China que trabaja por $ 3 / h (consulte PixProfit.com)

    
respondido por el coderguy 16.12.2010 - 23:04
fuente
1

El MSFT Ajax Toolkit tiene una implementación sin captcha que utiliza una variedad de medios transparentes para verificar un usuario. DEMO DE EJEMPLO

Este es un código bastante inteligente que puede incorporarse en otros sistemas para el ultra-bot-paranoide.

    
respondido por el random65537 17.05.2011 - 18:50
fuente
0

Asirra es utilizado por el Club Bing de Microsoft. enlace

enlace proporciona el servicio de Asirra pero su servicio es muy deficiente.

    
respondido por el Eyal 02.05.2011 - 09:41
fuente

Lea otras preguntas en las etiquetas