#1 Qué casualidad que justo ayer entré a esa web porque tengo que renovar el DNI. Debajo del número de teléfono, que es lo que buscaba, me encontré el enlace para pedir cita desde esa web así que me dije "bueno, ya que estoy aquí, pido la cita y una llamada que me ahorro...". ¡Los cojones! Marcos (frames), errores javascript... ¡Salí pitando! Tanto, que ni tiempo de fijarme en el captcha ese... Qué vergüenza. A llamar hoy ha tocado.
#9 Me imagino el requerimiento al programador novato: "...y quiero uno de esos cuadritos con letras feas para escribir lo que dice". "¿Lo puedo hacer con una tabla y texto plano?". "¡Como sea! ¡Solo necesito que las letras sean feas!"
#11#8 Básicamente el fundamento de un captcha es:
- El servidor genera un texto aleatorio
- El servidor genera una imagen a partir de ese texto
- Se sirve esa imagen
- Un humano la lee y envía el texto
- El servidor comprueba que el texto coincide con el original
Esto sirve para que no utilicen un servicio los robots, porque (al menos en teoría) no pueden "leer" la imagen
Pero si el texto es texto y no una imagen, si se genera en el lado del cliente y no se valida, no tiene ningún sentido. Es una chapuza inmensa, no hace falta saber de programación. No evita el empleo de bots para el uso del servicio, y además molesta a los usuarios. Otro ejemplo, el que enseña #10 también está mal hecho porque el código de verificación aparece en el propio código fuente, y lo puede leer un robot (de hecho se demuestra con un script en Perl en la misma entrada)
#14 La web está cargadita de problemas. Nada mas intentar entrar desde Firefox 3 te dice que el certificado no es seguro. Una vez incluida la excepción, se bloquea el acceso porque se lanza en una ventana emergente... a meter otra excepcion . Y al final, despues de todo el sufrimiento... aggg ¡mis ojos!. Ademas, vaya combinación de colores, no creo que ningun reconocedor OCR tenga muchos problemas en leerlo. Desde luego la web no tiene desperdicio.
#15 Y encima la pagina funciona de fabula.
Segun lo que me dice, mi DNI no es correcto. Y yo a lo loco, usandolo a pelo estos ultimos cinco años...
Total, que al final tengo que llamar.
#16#14 el tema es que, como bien dice #11, no se necesita un ocr ni nada de eso, ya que por un lado el "captcha" está en texto plano, y por otro, nisiquiera se valida en el servidor, sino en el cliente...
#17 Osea sería copiar pegar y listo ¿no? Así que cualquier robot podría hacerse con un DNI y pasar por cualquiera de nosotros... El mundo está perdido.
#20#11 Excelente explicación. ¿Qué tal te parece este CAPTCHA alternativo?:
- El servidor genera un texto aleatorio
- El servidor una imagen a partir de ese texto
- El servidor genera una tabla cuyas celdas tengan un fondo del color de los pixeles de la imagen generada. Es decir, si se genera una imagen de 100x60 obtendríamos una tabla de 100 columnas y 60 filas.
- El servidor sirve esa tabla, junto con un hash (MD5, SHA1, etc) con la palabra generada aleatoriamente + salt
- Un humano la lee y envía el texto
- El servidor compara el texto del usuario + salt con el hash generado a ver si coincide.
#21 A mi también me toca llamar, porque mi dni también es incorrecto...
Tendrían que rodar cabezas. Me gustaría saber cuanto han pagado por esa página web.
#23 Muy buen captcha tienen que poner para evitar los robots con ocr, asi que, que más da?
Para los que no entienden de informatica, es como si le dieran a la policia, en vez de pistolas, un papel con el dibujo de una pistola. A primera vista casi da el pego.
#30 Me estaría partiendo el culo diez horas si no llega a ser por la indignación que te deja, máxime siendo la página de solicitud del DNIe, cosa un tanto susceptible en el tema de la seguridad... si se encargan las mismas personas, que el demonio nos pille redimidos...
#32 Genial. Como ya no te hacen coger número y además de eso aguantar la cola, a pesar del número que acabas de coger para renovarte el DNI (esto es REAL, no un decir) ahora te hacen pasar por el aro de un captcha inútil. Muy coherente.
#33 La verdad, he visto cosas que vosotros no creeríais, y pensaba que ninguna chapuza conseguiría sorprenderme... pero lo han conseguido. Increíble, no tengo palabras.
#34 Buenísimo también el detalle del botón derecho, mal programado al estilo IE. Da miedo pensar que cosas oficiales y de ese calibre se dejan en mano de "programadores" inútiles, capaz de hacer algo como ese captcha wannabe, dejan claramente de manifiesto que entienden igual de bien el tema y los fundamentos de seguridad electrónica, que mi querida abuela, DE PENA!
PD: la miga no esta en los colores, ni en el aspecto estetico, eso es lo de menos, sino en lo que dice #8
#39 en general (pa #37 y todos) aqui no se habla del diseño visual del captcha, que es feo feo feo (y mereceria post aparte ) se comenta la chapuza de programación, viene a ser algo asi como intentar 'simular' algo que han visto y no entender para que se usa , para hacerlo bien se hace como comenta #11, el servidor quiere saber si hay un humano al otro lado, si deja al ordenador cliente la tarea de generar el captcha es ya de por si una tonteria, si ademas lo que deberia ser una imagen es texto plano pero 'decorao' es tonteria doble (que no cura la primera) viene a ser algo como ver que en las paginas mola mogollon el botoncito de rss y copiarlo y pegarlo como imagen pero con nula funcionalidad
#36 conste que no te he votado pero bueno te comento, no creo que el uso aqui de hashes tenga utilidad, realmente lo unico que se quiere comprobar con el metodo del captcha es que al otro lado tienes un humano, tu metodo no parece mejorar los actuales (si no lo he entendido mal) y no aporta mas seguridad
otras formas de seguridad aparte ya deben ser implementadas por metodos aparte , si lo que quieres es privacidad en la comunicacion se usara un https y la encriptacion que conlleva, pero el captcha en si es tal como lo ha explicado #11 , no necesita mas (ni menos)
#40#20: una gilipollez
si en vez de generar una imagen de 100x60 pixeles generas 600 imagenes de 1x1 lo unico que consigues es que tarde UN HUEVO en cargar la pagina por el overhead de cada peticion (si generases una sola imagen seria absurdo lo de partirla en el cliente, xq se sigue podiendo obtener la imagen completa) y quiza lies a un bot convencional pero seria bastante trivial hacer una pequeña modificacion para que tu bot junte los 600 pixeles antes de sacar el codigo
lo del hash tb es una tonteria, solo da seguridad si suponemos que alguien tiene acceso a dicho hash (xq no podria averiguar la palabra a introducir en el captcha a partir del hash qeu debe generar) pero que alguien tuviera acceso significaria que tienes problemas mas graves, asi que seguridad da poca
entiendes ahora los negativos?
edit: me he dado cuenta de que te refieres al color de fondo de la celda y no a poner un pixel de la imagen, bueno esto quitaria el tiempo en hacer las peticiones pero el servidor tendria que procesar la imagen igualmente para pillar los colores asi que la pagina tardaria un ratito en cargar, si
#42 Pues a mi me ha venido bien, a pesar de todo, he pedido cita, y la he verificado incluso y se ha grabado bien.
El dia que esté alli en la comisaria ya os contaré...
#44 Que raro, 42 mensajes y ningún listo(dicese de aquel que no tiene ni pajolera) ha puesto ningún comentario del estilo "Si estubiera montado el linux..." o "si estubiera hecho el windons"
#46#40 La verdad no acabo de ver claro lo que propone #20, pero lo que si que no entiendo para nada son los negativos que recibe. Si no te mola su propuesta pues o le respondes criticandola (como has hecho) o pasas de ella... ¿pero votar negativo el comentario? ¿en serio piensas que los votos negativos están para eso?
#49 como esperamos que se institucionalice(palabro) el software libre si para hacer las paginas oficiales se lo piden al sobrino del de gestion... pais!!
#50 Los captchas del sitio www.zonacinemania.com (parte del diario La Nacion de Argentina) son realmente lamentables. Si uno quiere fijarse en el el src de la imagen del capcha se encuentra <i m g style="border-width: 0px;" src="imgs/random/validador.aspx?c=FPKF" title="FPKF"/> donde "FPKF" es el texto que debe cargar el usuario!!!
#52 Joer, tanto elogiar el código abierto, tanto adorar código abierto, y cuando la administración pone el código abierto y claramente legible en su páginas, van y se quejan
#53#51 El creador/diseñador de la web (amigo del primo del hijo del responsable del ministerio) acaba de cobrar otros 2000€ para poner al día los certificados. Si no al tiempo.
rafavargas.wordpress.com/2008/05/14/un-candidato-a-peor-c... 
fdo. Manolo y Benito
- El servidor genera un texto aleatorio
- El servidor genera una imagen a partir de ese texto
- Se sirve esa imagen
- Un humano la lee y envía el texto
- El servidor comprueba que el texto coincide con el original
Esto sirve para que no utilicen un servicio los robots, porque (al menos en teoría) no pueden "leer" la imagen
Pero si el texto es texto y no una imagen, si se genera en el lado del cliente y no se valida, no tiene ningún sentido. Es una chapuza inmensa, no hace falta saber de programación. No evita el empleo de bots para el uso del servicio, y además molesta a los usuarios. Otro ejemplo, el que enseña #10 también está mal hecho porque el código de verificación aparece en el propio código fuente, y lo puede leer un robot (de hecho se demuestra con un script en Perl en la misma entrada)
Segun lo que me dice, mi DNI no es correcto. Y yo a lo loco, usandolo a pelo estos ultimos cinco años...
Total, que al final tengo que llamar.
- El servidor genera un texto aleatorio
- El servidor una imagen a partir de ese texto
- El servidor genera una tabla cuyas celdas tengan un fondo del color de los pixeles de la imagen generada. Es decir, si se genera una imagen de 100x60 obtendríamos una tabla de 100 columnas y 60 filas.
- El servidor sirve esa tabla, junto con un hash (MD5, SHA1, etc) con la palabra generada aleatoriamente + salt
- Un humano la lee y envía el texto
- El servidor compara el texto del usuario + salt con el hash generado a ver si coincide.
¿Qué les parece este approach?
Tendrían que rodar cabezas. Me gustaría saber cuanto han pagado por esa página web.
Para los que no entienden de informatica, es como si le dieran a la policia, en vez de pistolas, un papel con el dibujo de una pistola. A primera vista casi da el pego.
No al que lo ha hecho, que se ve que no tiene ni zorra, sino a quién decidió que semejante aberración tenía que ser incorporada a la web.
PD: la miga no esta en los colores, ni en el aspecto estetico, eso es lo de menos, sino en lo que dice #8
En fin, añadir a la lista no solicitar feedback. 8|
Gracias.
#36 conste que no te he votado pero bueno te comento, no creo que el uso aqui de hashes tenga utilidad, realmente lo unico que se quiere comprobar con el metodo del captcha es que al otro lado tienes un humano, tu metodo no parece mejorar los actuales (si no lo he entendido mal) y no aporta mas seguridad
otras formas de seguridad aparte ya deben ser implementadas por metodos aparte , si lo que quieres es privacidad en la comunicacion se usara un https y la encriptacion que conlleva, pero el captcha en si es tal como lo ha explicado #11 , no necesita mas (ni menos)
si en vez de generar una imagen de 100x60 pixeles generas 600 imagenes de 1x1 lo unico que consigues es que tarde UN HUEVO en cargar la pagina por el overhead de cada peticion (si generases una sola imagen seria absurdo lo de partirla en el cliente, xq se sigue podiendo obtener la imagen completa) y quiza lies a un bot convencional pero seria bastante trivial hacer una pequeña modificacion para que tu bot junte los 600 pixeles antes de sacar el codigo
lo del hash tb es una tonteria, solo da seguridad si suponemos que alguien tiene acceso a dicho hash (xq no podria averiguar la palabra a introducir en el captcha a partir del hash qeu debe generar) pero que alguien tuviera acceso significaria que tienes problemas mas graves, asi que seguridad da poca
entiendes ahora los negativos?
edit: me he dado cuenta de que te refieres al color de fondo de la celda y no a poner un pixel de la imagen, bueno esto quitaria el tiempo en hacer las peticiones pero el servidor tendria que procesar la imagen igualmente para pillar los colores asi que la pagina tardaria un ratito en cargar, si
El dia que esté alli en la comisaria ya os contaré...
Si es que no sabéis lo que queréis