[PLN] formulario registro

Santiago Crespo pln-lists.marsupi.org en flanera.net
Mar Oct 2 13:28:11 CEST 2012 

Hola,

David, rellenar captcha debería hacerte sentir... humano!!! :P A mi 
tampoco me hace gracia rellenarlos.

Lo que me preocupa no son los bots genéricos, sino un posible ataque 
específico a nuestra red.

¿Qué pasaría si alguien lanza un bot que intente registrar nodos 
indefinidamente, usando todos los nodos que encuentre? No ahora, sino 
cuando tengamos PLN v.1.0 y sea un éxito con cientos de nodos funcionando.

Estará el límite de conexiones que pongamos cada admin en el fichero 
node.json, por lo que rápidamente nos podrían hacer una denegación de 
servicio en el alta de nuevos nodos, ocupando todos los "slots" libres y 
no ofreciendo ninguno.

Cuando un admin amplie sus conexiones máximas permitidas (o mejor, borre 
las conexiones de los atacantes) éstos vuelven a registrar al rato todos 
los huecos de forma automática.

En cambio, con un captcha o cualquier prueba para humanos, para hacer el 
mismo ataque rápidamente harían falta muchos más recursos que un 
programador desalmado y un pool de IPs. Por ejemplo muchos humanos 
desalmados coordinados.

Si a todos os parece muy remota y/o loca esta posibilidad, será mejor 
que aparquemos la idea del captcha. Si llegase el día que nos hicieran 
algún ataque de éstos, quizá encontremos en ése momento una solución 
mejor. Vamos, que si llegamos a un río ya veremos cómo cruzarlo.

-- 
Saludos,
Santiago Crespo



El 02/10/12 10:43, David Rubert escribió:
> Totalmente de acuerdo, rellenar captchas me hace sentir totalmente estúpido.
>
> Buena solución la que comentas Antonio, me la apunto.
>
> En nuestro caso tampoco hace falta capcha (mi opinión) ya que es mucho
> más complejo de lo que supone rellenar 2 campos y pulsar un botón, y
> es que cada uno de los campos han de cumplir con unas validaciones
> (expresiones regulares, una lógica X). Vamos que para que un robot
> adivine toda la lógica javascript y consiga hacer submit de algo
> coherente sobre el formulario tiene que ser HAL9000 o superior :)
>
>
> El día 1 de octubre de 2012 00:25, Antonio Pardo
> <apardo en sindominio.net> escribió:
>> Buenas,
>>
>> El 30/09/12 16:45, Santiago Crespo escribió:
>>
>>>    * Comprobar que es humano de alguna manera (ok, recaptcha no. quizá
>>> con un captcha local?)
>>
>>
>> yo odio los captchas.
>>
>> Lo que hacemos en oiga.me es presentar formularios con algunos campos
>> escondidos con CSS. Un robot normalmente lo suele rellenar todo, si rellena
>> el campo hidden, ZAS...
>>
>> La gema que usamos es esta:
>> https://github.com/curtis/honeypot-captcha
>>
>> Saludos
>>

More information about the PLN mailing list