#11:
#8 Básicamente el fundamento de un captcha es:
- El servidor genera un texto aleatorio
- El servidor genera una imagen a partir de ese texto
- Se sirve esa imagen
- Un humano la lee y envía el texto
- El servidor comprueba que el texto coincide con el original
Esto sirve para que no utilicen un servicio los robots, porque (al menos en teoría) no pueden "leer" la imagen
Pero si el texto es texto y no una imagen, si se genera en el lado del cliente y no se valida, no tiene ningún sentido. Es una chapuza inmensa, no hace falta saber de programación. No evita el empleo de bots para el uso del servicio, y además molesta a los usuarios. Otro ejemplo, el que enseña #10 también está mal hecho porque el código de verificación aparece en el propio código fuente, y lo puede leer un robot (de hecho se demuestra con un script en Perl en la misma entrada)
#5:
¿así que no os gusta el resultado? ... pues mira que pasamos meses haciéndola...
Qué casualidad que justo ayer entré a esa web porque tengo que renovar el DNI. Debajo del número de teléfono, que es lo que buscaba, me encontré el enlace para pedir cita desde esa web así que me dije "bueno, ya que estoy aquí, pido la cita y una llamada que me ahorro...". ¡Los cojones! Marcos (frames), errores javascript... ¡Salí pitando! Tanto, que ni tiempo de fijarme en el captcha ese... Qué vergüenza. A llamar hoy ha tocado.
Me imagino el requerimiento al programador novato: "...y quiero uno de esos cuadritos con letras feas para escribir lo que dice". "¿Lo puedo hacer con una tabla y texto plano?". "¡Como sea! ¡Solo necesito que las letras sean feas!"
#8 Básicamente el fundamento de un captcha es:
- El servidor genera un texto aleatorio
- El servidor genera una imagen a partir de ese texto
- Se sirve esa imagen
- Un humano la lee y envía el texto
- El servidor comprueba que el texto coincide con el original
Esto sirve para que no utilicen un servicio los robots, porque (al menos en teoría) no pueden "leer" la imagen
Pero si el texto es texto y no una imagen, si se genera en el lado del cliente y no se valida, no tiene ningún sentido. Es una chapuza inmensa, no hace falta saber de programación. No evita el empleo de bots para el uso del servicio, y además molesta a los usuarios. Otro ejemplo, el que enseña #10 también está mal hecho porque el código de verificación aparece en el propio código fuente, y lo puede leer un robot (de hecho se demuestra con un script en Perl en la misma entrada)
La web está cargadita de problemas. Nada mas intentar entrar desde Firefox 3 te dice que el certificado no es seguro. Una vez incluida la excepción, se bloquea el acceso porque se lanza en una ventana emergente... a meter otra excepcion . Y al final, despues de todo el sufrimiento... aggg ¡mis ojos!. Ademas, vaya combinación de colores, no creo que ningun reconocedor OCR tenga muchos problemas en leerlo. Desde luego la web no tiene desperdicio.
Y encima la pagina funciona de fabula.
Segun lo que me dice, mi DNI no es correcto. Y yo a lo loco, usandolo a pelo estos ultimos cinco años...
Total, que al final tengo que llamar.
#14 el tema es que, como bien dice #11, no se necesita un ocr ni nada de eso, ya que por un lado el "captcha" está en texto plano, y por otro, nisiquiera se valida en el servidor, sino en el cliente...
#11 Excelente explicación. ¿Qué tal te parece este CAPTCHA alternativo?:
- El servidor genera un texto aleatorio
- El servidor una imagen a partir de ese texto
- El servidor genera una tabla cuyas celdas tengan un fondo del color de los pixeles de la imagen generada. Es decir, si se genera una imagen de 100x60 obtendríamos una tabla de 100 columnas y 60 filas.
- El servidor sirve esa tabla, junto con un hash (MD5, SHA1, etc) con la palabra generada aleatoriamente + salt
- Un humano la lee y envía el texto
- El servidor compara el texto del usuario + salt con el hash generado a ver si coincide.
A mi también me toca llamar, porque mi dni también es incorrecto...
Tendrían que rodar cabezas. Me gustaría saber cuanto han pagado por esa página web.
Muy buen captcha tienen que poner para evitar los robots con ocr, asi que, que más da?
Para los que no entienden de informatica, es como si le dieran a la policia, en vez de pistolas, un papel con el dibujo de una pistola. A primera vista casi da el pego.
No es aconsejable usar las opciones de este menu. Ese es el alert aparece si das al boton derecho en la pagina, pero es que luego te deja acceder al menu. Que seguridad para que nadie la edite jajajaja
#27 El que sea daltónico no tiene mas que copiar y pegar. Y el que no lo sea también
De todas formas el rojo y el verde están en el fondo, así que alguien que no distinga esos colores no importaría. Seria diferente si no distingue el color de las letras del color del fondo.
Por cierto, que la web a mi no me va. ¿Se ha caído de probar todo el mundo?
Me estaría partiendo el culo diez horas si no llega a ser por la indignación que te deja, máxime siendo la página de solicitud del DNIe, cosa un tanto susceptible en el tema de la seguridad... si se encargan las mismas personas, que el demonio nos pille redimidos...
Genial. Como ya no te hacen coger número y además de eso aguantar la cola, a pesar del número que acabas de coger para renovarte el DNI (esto es REAL, no un decir) ahora te hacen pasar por el aro de un captcha inútil. Muy coherente.
La verdad, he visto cosas que vosotros no creeríais, y pensaba que ninguna chapuza conseguiría sorprenderme... pero lo han conseguido. Increíble, no tengo palabras.
Buenísimo también el detalle del botón derecho, mal programado al estilo IE. Da miedo pensar que cosas oficiales y de ese calibre se dejan en mano de "programadores" inútiles, capaz de hacer algo como ese captcha wannabe, dejan claramente de manifiesto que entienden igual de bien el tema y los fundamentos de seguridad electrónica, que mi querida abuela, DE PENA!
PD: la miga no esta en los colores, ni en el aspecto estetico, eso es lo de menos, sino en lo que dice #8
en general (pa #37 y todos) aqui no se habla del diseño visual del captcha, que es feo feo feo (y mereceria post aparte ) se comenta la chapuza de programación, viene a ser algo asi como intentar 'simular' algo que han visto y no entender para que se usa , para hacerlo bien se hace como comenta #11, el servidor quiere saber si hay un humano al otro lado, si deja al ordenador cliente la tarea de generar el captcha es ya de por si una tonteria, si ademas lo que deberia ser una imagen es texto plano pero 'decorao' es tonteria doble (que no cura la primera) viene a ser algo como ver que en las paginas mola mogollon el botoncito de rss y copiarlo y pegarlo como imagen pero con nula funcionalidad
#36 conste que no te he votado pero bueno te comento, no creo que el uso aqui de hashes tenga utilidad, realmente lo unico que se quiere comprobar con el metodo del captcha es que al otro lado tienes un humano, tu metodo no parece mejorar los actuales (si no lo he entendido mal) y no aporta mas seguridad
otras formas de seguridad aparte ya deben ser implementadas por metodos aparte , si lo que quieres es privacidad en la comunicacion se usara un https y la encriptacion que conlleva, pero el captcha en si es tal como lo ha explicado #11 , no necesita mas (ni menos)
#20: una gilipollez
si en vez de generar una imagen de 100x60 pixeles generas 600 imagenes de 1x1 lo unico que consigues es que tarde UN HUEVO en cargar la pagina por el overhead de cada peticion (si generases una sola imagen seria absurdo lo de partirla en el cliente, xq se sigue podiendo obtener la imagen completa) y quiza lies a un bot convencional pero seria bastante trivial hacer una pequeña modificacion para que tu bot junte los 600 pixeles antes de sacar el codigo
lo del hash tb es una tonteria, solo da seguridad si suponemos que alguien tiene acceso a dicho hash (xq no podria averiguar la palabra a introducir en el captcha a partir del hash qeu debe generar) pero que alguien tuviera acceso significaria que tienes problemas mas graves, asi que seguridad da poca
entiendes ahora los negativos?
editado:
me he dado cuenta de que te refieres al color de fondo de la celda y no a poner un pixel de la imagen, bueno esto quitaria el tiempo en hacer las peticiones pero el servidor tendria que procesar la imagen igualmente para pillar los colores asi que la pagina tardaria un ratito en cargar, si
Y lo peor de todo con diferencia es que no están precisamente en un blog dónde alguién cuenta sus batallitas en vacaciones sino que son sitios de la Administración y de gran relevancia.
Pues a mi me ha venido bien, a pesar de todo, he pedido cita, y la he verificado incluso y se ha grabado bien.
El dia que esté alli en la comisaria ya os contaré...
Que raro, 42 mensajes y ningún listo(dicese de aquel que no tiene ni pajolera) ha puesto ningún comentario del estilo "Si estubiera montado el linux..." o "si estubiera hecho el windons"
#40 La verdad no acabo de ver claro lo que propone #20, pero lo que si que no entiendo para nada son los negativos que recibe. Si no te mola su propuesta pues o le respondes criticandola (como has hecho) o pasas de ella... ¿pero votar negativo el comentario? ¿en serio piensas que los votos negativos están para eso?
Cuidado que todas las las conexiones no autorizadas estan siendo vigiladas.Ej:https://www.citapreviadnie.es/js/
Es que el madero impone ¿el login remoto para los curritos?
Los captchas del sitio www.zonacinemania.com (parte del diario La Nacion de Argentina) son realmente lamentables. Si uno quiere fijarse en el el src de la imagen del capcha se encuentra donde "FPKF" es el texto que debe cargar el usuario!!!
Joer, tanto elogiar el código abierto, tanto adorar código abierto, y cuando la administración pone el código abierto y claramente legible en su páginas, van y se quejan
#51 El creador/diseñador de la web (amigo del primo del hijo del responsable del ministerio) acaba de cobrar otros 2000€ para poner al día los certificados. Si no al tiempo.
Comentarios
Qué casualidad que justo ayer entré a esa web porque tengo que renovar el DNI. Debajo del número de teléfono, que es lo que buscaba, me encontré el enlace para pedir cita desde esa web así que me dije "bueno, ya que estoy aquí, pido la cita y una llamada que me ahorro...". ¡Los cojones! Marcos (frames), errores javascript... ¡Salí pitando! Tanto, que ni tiempo de fijarme en el captcha ese... Qué vergüenza. A llamar hoy ha tocado.
¡Mis ojos! ¡Mis ojos!
Seran cutres? Si no lo quieren implementar ellos mismos, te lo dan gratis en la red! http://recaptcha.net/whyrecaptcha.html
Sólo puedo decir, Dios mio !!!
¿así que no os gusta el resultado? ... pues mira que pasamos meses haciéndola...
fdo. Manolo y Benito
realmente es malo de narices.
aaaaaaaaaaah!
de programacion no entiendo mucho, pero esos colores... #2 "¡Mis ojos! ¡Mis ojos!"
Me imagino el requerimiento al programador novato: "...y quiero uno de esos cuadritos con letras feas para escribir lo que dice". "¿Lo puedo hacer con una tabla y texto plano?". "¡Como sea! ¡Solo necesito que las letras sean feas!"
Yo creía que el peor era http://mnm.uib.es/gallir/posts/2007/06/09/1108/
#8 Básicamente el fundamento de un captcha es:
- El servidor genera un texto aleatorio
- El servidor genera una imagen a partir de ese texto
- Se sirve esa imagen
- Un humano la lee y envía el texto
- El servidor comprueba que el texto coincide con el original
Esto sirve para que no utilicen un servicio los robots, porque (al menos en teoría) no pueden "leer" la imagen
Pero si el texto es texto y no una imagen, si se genera en el lado del cliente y no se valida, no tiene ningún sentido. Es una chapuza inmensa, no hace falta saber de programación. No evita el empleo de bots para el uso del servicio, y además molesta a los usuarios. Otro ejemplo, el que enseña #10 también está mal hecho porque el código de verificación aparece en el propio código fuente, y lo puede leer un robot (de hecho se demuestra con un script en Perl en la misma entrada)
asias #11
#8 buena explicación, gracias
La web está cargadita de problemas. Nada mas intentar entrar desde Firefox 3 te dice que el certificado no es seguro. Una vez incluida la excepción, se bloquea el acceso porque se lanza en una ventana emergente... a meter otra excepcion . Y al final, despues de todo el sufrimiento... aggg ¡mis ojos!. Ademas, vaya combinación de colores, no creo que ningun reconocedor OCR tenga muchos problemas en leerlo. Desde luego la web no tiene desperdicio.
Y encima la pagina funciona de fabula.
Segun lo que me dice, mi DNI no es correcto. Y yo a lo loco, usandolo a pelo estos ultimos cinco años...
Total, que al final tengo que llamar.
#14 el tema es que, como bien dice #11, no se necesita un ocr ni nada de eso, ya que por un lado el "captcha" está en texto plano, y por otro, nisiquiera se valida en el servidor, sino en el cliente...
Osea sería copiar pegar y listo ¿no? Así que cualquier robot podría hacerse con un DNI y pasar por cualquiera de nosotros... El mundo está perdido.
Será para acojonar, al ver el captcha los "juankers" salen corriendo. Es igual que lo de "Zona controlada por radar" que hay en mi calle...
Oh my God !!!
#11 Excelente explicación. ¿Qué tal te parece este CAPTCHA alternativo?:
- El servidor genera un texto aleatorio
- El servidor una imagen a partir de ese texto
- El servidor genera una tabla cuyas celdas tengan un fondo del color de los pixeles de la imagen generada. Es decir, si se genera una imagen de 100x60 obtendríamos una tabla de 100 columnas y 60 filas.
- El servidor sirve esa tabla, junto con un hash (MD5, SHA1, etc) con la palabra generada aleatoriamente + salt
- Un humano la lee y envía el texto
- El servidor compara el texto del usuario + salt con el hash generado a ver si coincide.
¿Qué les parece este approach?
A mi también me toca llamar, porque mi dni también es incorrecto...
Tendrían que rodar cabezas. Me gustaría saber cuanto han pagado por esa página web.
Casi me mareo de ver ese captcha... estética por Favorrrrrrrr!
Muy buen captcha tienen que poner para evitar los robots con ocr, asi que, que más da?
Para los que no entienden de informatica, es como si le dieran a la policia, en vez de pistolas, un papel con el dibujo de una pistola. A primera vista casi da el pego.
No es aconsejable usar las opciones de este menu. Ese es el alert aparece si das al boton derecho en la pagina, pero es que luego te deja acceder al menu. Que seguridad para que nadie la edite jajajaja
Esa combinación de rojos y verdes no debe ser muy cómoda de leer para daltónicos, ¿no?
Reiros del captcha reíros, pero yo he pasado por alguno que es peor que descifrar la piedra roseta, prefiero esta cosa mil veces...
#25 menudo ejemplo de accesibilidad en una web pública
#27 El que sea daltónico no tiene mas que copiar y pegar. Y el que no lo sea también
De todas formas el rojo y el verde están en el fondo, así que alguien que no distinga esos colores no importaría. Seria diferente si no distingue el color de las letras del color del fondo.
Por cierto, que la web a mi no me va. ¿Se ha caído de probar todo el mundo?
#26 Si, hay alguno parecido al de la hipótesis de Riemman que publicaban los Microsiervos el otro día...
Me estaría partiendo el culo diez horas si no llega a ser por la indignación que te deja, máxime siendo la página de solicitud del DNIe, cosa un tanto susceptible en el tema de la seguridad... si se encargan las mismas personas, que el demonio nos pille redimidos...
Por favor, que alguien le pegue una paliza.
No al que lo ha hecho, que se ve que no tiene ni zorra, sino a quién decidió que semejante aberración tenía que ser incorporada a la web.
Genial. Como ya no te hacen coger número y además de eso aguantar la cola, a pesar del número que acabas de coger para renovarte el DNI (esto es REAL, no un decir) ahora te hacen pasar por el aro de un captcha inútil. Muy coherente.
La verdad, he visto cosas que vosotros no creeríais, y pensaba que ninguna chapuza conseguiría sorprenderme... pero lo han conseguido. Increíble, no tengo palabras.
Buenísimo también el detalle del botón derecho, mal programado al estilo IE. Da miedo pensar que cosas oficiales y de ese calibre se dejan en mano de "programadores" inútiles, capaz de hacer algo como ese captcha wannabe, dejan claramente de manifiesto que entienden igual de bien el tema y los fundamentos de seguridad electrónica, que mi querida abuela, DE PENA!
PD: la miga no esta en los colores, ni en el aspecto estetico, eso es lo de menos, sino en lo que dice #8
Buen programador el de la web, si...
#20 WTF ? Entiendo que puedan decir que el método es malo o pésimo, pero votarla negativamente, la verdad no lo entiendo.
En fin, añadir a la lista no solicitar feedback. 8|
Mi conocimiento de programación es "cero patatero", pero si vosotros lo decís, os creo a todos.
Gracias.
Esto es la hostiaaaa!!!!
en general (pa #37 y todos) aqui no se habla del diseño visual del captcha, que es feo feo feo (y mereceria post aparte ) se comenta la chapuza de programación, viene a ser algo asi como intentar 'simular' algo que han visto y no entender para que se usa , para hacerlo bien se hace como comenta #11, el servidor quiere saber si hay un humano al otro lado, si deja al ordenador cliente la tarea de generar el captcha es ya de por si una tonteria, si ademas lo que deberia ser una imagen es texto plano pero 'decorao' es tonteria doble (que no cura la primera) viene a ser algo como ver que en las paginas mola mogollon el botoncito de rss y copiarlo y pegarlo como imagen pero con nula funcionalidad
#36 conste que no te he votado pero bueno te comento, no creo que el uso aqui de hashes tenga utilidad, realmente lo unico que se quiere comprobar con el metodo del captcha es que al otro lado tienes un humano, tu metodo no parece mejorar los actuales (si no lo he entendido mal) y no aporta mas seguridad
otras formas de seguridad aparte ya deben ser implementadas por metodos aparte , si lo que quieres es privacidad en la comunicacion se usara un https y la encriptacion que conlleva, pero el captcha en si es tal como lo ha explicado #11 , no necesita mas (ni menos)
#20: una gilipollez
si en vez de generar una imagen de 100x60 pixeles generas 600 imagenes de 1x1 lo unico que consigues es que tarde UN HUEVO en cargar la pagina por el overhead de cada peticion (si generases una sola imagen seria absurdo lo de partirla en el cliente, xq se sigue podiendo obtener la imagen completa) y quiza lies a un bot convencional pero seria bastante trivial hacer una pequeña modificacion para que tu bot junte los 600 pixeles antes de sacar el codigo
lo del hash tb es una tonteria, solo da seguridad si suponemos que alguien tiene acceso a dicho hash (xq no podria averiguar la palabra a introducir en el captcha a partir del hash qeu debe generar) pero que alguien tuviera acceso significaria que tienes problemas mas graves, asi que seguridad da poca
entiendes ahora los negativos?
Y lo peor de todo con diferencia es que no están precisamente en un blog dónde alguién cuenta sus batallitas en vacaciones sino que son sitios de la Administración y de gran relevancia.
Pues a mi me ha venido bien, a pesar de todo, he pedido cita, y la he verificado incluso y se ha grabado bien.
El dia que esté alli en la comisaria ya os contaré...
Jajaja, o son torpes o tenían pocas ganas de acabar pronto.
Que raro, 42 mensajes y ningún listo(dicese de aquel que no tiene ni pajolera) ha puesto ningún comentario del estilo "Si estubiera montado el linux..." o "si estubiera hecho el windons"
#42 http://www.wikipedia.es/result.php?buscar1=captcha
#40 La verdad no acabo de ver claro lo que propone #20, pero lo que si que no entiendo para nada son los negativos que recibe. Si no te mola su propuesta pues o le respondes criticandola (como has hecho) o pasas de ella... ¿pero votar negativo el comentario? ¿en serio piensas que los votos negativos están para eso?
#10 Ese ya lo arreglaron... era demasiado evidente
Cuidado que todas las las conexiones no autorizadas estan siendo vigiladas.Ej:https://www.citapreviadnie.es/js/
Es que el madero impone ¿el login remoto para los curritos?
como esperamos que se institucionalice(palabro) el software libre si para hacer las paginas oficiales se lo piden al sobrino del de gestion... pais!!
Los captchas del sitio www.zonacinemania.com (parte del diario La Nacion de Argentina) son realmente lamentables. Si uno quiere fijarse en el el src de la imagen del capcha se encuentra donde "FPKF" es el texto que debe cargar el usuario!!!
A mí ni me abra la página, Firefox 3 me reporta Certificado Inválido
Joer, tanto elogiar el código abierto, tanto adorar código abierto, y cuando la administración pone el código abierto y claramente legible en su páginas, van y se quejan
Si es que no sabéis lo que queréis
#51 El creador/diseñador de la web (amigo del primo del hijo del responsable del ministerio) acaba de cobrar otros 2000€ para poner al día los certificados. Si no al tiempo.
Los hay peores, del tipo:
#5, 5 euros a que subcontratastéis a Pepe Gotera y Otilio.
Después del comentario de #11 no hay más que añadir... bueno si, CHAPUZA!!!