[PLN] formulario registro

David Rubert david.rubert en gmail.com
Mar Oct 2 16:02:49 CEST 2012


Jejeje, es que ahora que veo me dejo las frases a mitad, no me he
explicado bien. :P Me refería que los captchas poco a poco están
perdiendo el sentido, ha llegado un momento que el OCR de las imágenes
es tan bueno que los captchas generados son totalmente infumables, y
lo mejor es que las librerías OCR específicas para captcha siguen
mejorando. :P

Vamos que pedirle a un usuario que se dé de alta en tu web y que
además descifre un captcha de este tipo [0] es ponerle las cosas muy
complicadas (es una exageración, pero hay captchas que son la leche).

[0] http://goo.gl/GIMz4


Si quieres probamos una librería de captcha local, estuve mirando
algunas y no encontré nada aceptable. Algunas webs optan por
soluciones como hacer preguntas más semánticas, donde se le pida al
usuario que razone un poco antes de contestar, o algo como lo que
comenta Antonio, haciendo que el bot se delate, pero seguimos sin
evitar el caso que comentas, como un ataque personalizado.

¿Qué opciones se os ocurren?


El día 2 de octubre de 2012 13:28, Santiago Crespo
<pln-lists.marsupi.org en flanera.net> escribió:
> Hola,
>
> David, rellenar captcha debería hacerte sentir... humano!!! :P A mi tampoco
> me hace gracia rellenarlos.
>
> Lo que me preocupa no son los bots genéricos, sino un posible ataque
> específico a nuestra red.
>
> ¿Qué pasaría si alguien lanza un bot que intente registrar nodos
> indefinidamente, usando todos los nodos que encuentre? No ahora, sino cuando
> tengamos PLN v.1.0 y sea un éxito con cientos de nodos funcionando.
>
> Estará el límite de conexiones que pongamos cada admin en el fichero
> node.json, por lo que rápidamente nos podrían hacer una denegación de
> servicio en el alta de nuevos nodos, ocupando todos los "slots" libres y no
> ofreciendo ninguno.
>
> Cuando un admin amplie sus conexiones máximas permitidas (o mejor, borre las
> conexiones de los atacantes) éstos vuelven a registrar al rato todos los
> huecos de forma automática.
>
> En cambio, con un captcha o cualquier prueba para humanos, para hacer el
> mismo ataque rápidamente harían falta muchos más recursos que un programador
> desalmado y un pool de IPs. Por ejemplo muchos humanos desalmados
> coordinados.
>
> Si a todos os parece muy remota y/o loca esta posibilidad, será mejor que
> aparquemos la idea del captcha. Si llegase el día que nos hicieran algún
> ataque de éstos, quizá encontremos en ése momento una solución mejor. Vamos,
> que si llegamos a un río ya veremos cómo cruzarlo.
>
> --
> Saludos,
> Santiago Crespo
>
>
>
> El 02/10/12 10:43, David Rubert escribió:
>
>> Totalmente de acuerdo, rellenar captchas me hace sentir totalmente
>> estúpido.
>>
>> Buena solución la que comentas Antonio, me la apunto.
>>
>> En nuestro caso tampoco hace falta capcha (mi opinión) ya que es mucho
>> más complejo de lo que supone rellenar 2 campos y pulsar un botón, y
>> es que cada uno de los campos han de cumplir con unas validaciones
>> (expresiones regulares, una lógica X). Vamos que para que un robot
>> adivine toda la lógica javascript y consiga hacer submit de algo
>> coherente sobre el formulario tiene que ser HAL9000 o superior :)
>>
>>
>> El día 1 de octubre de 2012 00:25, Antonio Pardo
>> <apardo en sindominio.net> escribió:
>>>
>>> Buenas,
>>>
>>> El 30/09/12 16:45, Santiago Crespo escribió:
>>>
>>>>    * Comprobar que es humano de alguna manera (ok, recaptcha no. quizá
>>>> con un captcha local?)
>>>
>>>
>>>
>>> yo odio los captchas.
>>>
>>> Lo que hacemos en oiga.me es presentar formularios con algunos campos
>>> escondidos con CSS. Un robot normalmente lo suele rellenar todo, si
>>> rellena
>>> el campo hidden, ZAS...
>>>
>>> La gema que usamos es esta:
>>> https://github.com/curtis/honeypot-captcha
>>>
>>> Saludos
>>>
> _______________________________________________
> PLN mailing list
> PLN en marsupi.org
> https://lists.marsupi.org/listinfo/pln


More information about the PLN mailing list