Español | Inglés
Animal Captcha
DEMO ONLINE
[Español e Inglés]
Introducción:
Animal Captcha es un pequeño programa en lenguaje PHP, orientado para su uso en páginas web, que permite adjuntar a un formulario una imagen aleatoria de un animal que cualquier humano conoce, y sin embargo un robot es incapaz de identificar.
Ventajas:
Descargar:
Publicado bajo licencia Creative Commons, siendo esta página la fuente original. Cedo al interés común todos los derechos de utilización y modificación, como mejor se considere. El único derecho que quiero preservar es el de autoría y citación.
Versiones y cambios: (changelog):
(Invulnerable quiere decir que es seguro y hasta el momento nadie ha logrado crackeado, ánimo hackers!)
Implementación:
Animal Captcha está compuesto de 2 archivos PHP y 1 carpeta con imágenes de animales.
De esta forma se puede internacionalizar fácilmente o se pueden solventar animales que pueden ser nombrados de varias formas.
Cada imagen es difuminada aleatoriamente, de forma que cada imagen presentada es única.
Problemas conocidos:
Español | Inglés
Twittear |
Artículos relacionados:
ME GUSTA
Tu captcha sigue teniendo limitaciones. La más básica es el número de animales diferentes que puede llegar a conocer una persona normal y corriente, lo que limita muchísimo los resultados a introducir.
Si haces que cada tres intentos fallidos aparezca una nueva imagen, es solo cuestión de tiempo que un programa que haga la función de introducir los cien nombres de animales que suele conocer una persona normal acertara por casualidad en uno de los tres intentos.
Sigo sin ver qué tiene de mejor tu captcha comparado con cualquiera de los "normales". Espero que ya hayas visto que de infalible nada, además sería mucho más fácil de rebentar que un captcha alfanumérico.
Que tal Gonzo.
Muy buena idea lo de las imágenes para usarlo en el captcha en lugar de las clásicas cadenas.
Pero no lo veo muy usable del todo por el hecho de que no todos sabemos como se escriben correctamente el nombre de la mayoría de los animales. Por ejemplo, en el demo que tienes, intente poner al hipopótamo sin la letra "h" y no pasa, también el caso de víbora cambiado la "v" por "b" y vesceversa dice que soy robot. Y este el punto mas fuerte en contra que le veo a tu sistema, porque la mayoría de los internautas tenemos una ortografía muy mala (sin contar que en diferentes países se le puede conocer de otro nombre a un animal) y eso puede ocasionar que cuando alguien escriba mal el nombre de un animal y no lo deje pasar no va a saber donde está el error y va a pensar que el problema es del sistema.
Ahora, si yo hago un bot para poder romper el captcha, lo único que tengo que hacer es tener una lista donde vengan todos los nombres de los animales que existen sacados de una enciclopedia - en este caso todos van a estar correctamente escritos - para saltarme la protección. Y es que por esta misma razón es más fácil que un bot que puede ejecutas cientos de opereciones por segundo y sin problema a que escriba mal un nombre pueda pasar el captcha a un humano medio con mala ortografía.
Eso si, tu sistema funcionaría perfectamente para que no posteen los típicos "hoygans" en los foros.
Saludos.
Hey Gonzo, después de los comentarios en meneame.net, el sistema ha quedado "vulnerado"... vas a reorientar este proyecto? Vas a matarlo? Tengo curiosidad.
Hola Barbituri
Hoy mismo he empezado a desarrollar una batería de mejoras para resolver el fallo reportado desde menéame.
Tardaré más de lo que creía, pero probablemente en una semana estará listo.
Básicamente voy a añadir la opción de poner 2 o más animales en cada prueba. De forma opcional y configurable.
Lo que si, acabo de cambiar el estado actual de "invulnerable" a "débil a fuerza bruta".
No considero que sea vulnerable al 100% porque hay que hacer 30 peticiones para lograr 1 éxito ahora mismo. No es descabellado que alguien lo explote, pero tampoco va a dar problemas normalmente.
Hola Jorge,
Sobre la eficacia "anti-hoygans" es ninguna. Consiguen superarlo de igual forma. Piensa que es muy facil pulsar en la imagen y obtener otro animal.
Sobre las faltas otrográficas, se ha intentado mitigar esos fallos ignorando acentos y permitiendo varios nombres por cada animal. Por ejemplo en la "vaca" sirve decir "toro" también. Sin embargo me parece demasiado "bruto" añadir erratas tipo "baca". Aun así es extremadamente fácil añadirlo, solo hay que cambiar los nombres de los archivos jpg.
Sobre la vulnerabilidad a fuerza bruta ya estoy trabajando en ello, supongo que lo habrás visto en menéame, es cierto. Intentaré resolverlo con una serie de medidas proximamente.
Hola.
En Tuentidad.es tenemos un captcha sencillo, pero estamos interesados en mejorar también la seguridad en nuestras transacciones.
Te propongo, un híbrido:
Muestras una imagen como la que hay ahora, y luego una serie de valores posibles abajo, generados con imagen captcha de las tradicionales y un "" que envíe diferentes hasheses.
La a la función se le indica el hash del animal, y el hash de la respuesta seleccionada, que internamente están asociados a dos palabras... y si es igual, dice true; y si no, dice false.
¿Entiendes?
Alguna duda, te ayudamos en nuestra web o este mail.
Muy interesante la idea
La idea es muy buena, Gonzo. Pero debo partir por n-ésima vez una lanza por los ciegos (esclavizados en Windows por cierta organización que les cobra un disparate por el lector de pantalla Jaws). Todo lo que un lector de pantalla no lea un ciego no conseguirá ver. Creo que el mejor captcha es el lingüístico, el que formula algún tipo de pregunta que un humano puede contestar y una máquina no.
Yo tengo una duda, ¿porque no utilizar un modo mixto de imagen y texto? Me explico: si en una imagen aparece un coche con las dos barras encima y una mini-pregunta como: ¿Que tiene arriba? Se devuelve 'baca', nada que ver con la imagen ni con el texto de la pregunta.
Otro ejemplo como un cuadro y perir 'color marco' u 'objeto en mano' de alguien pintado en el, etc...
Creo que puede ser muy interesante y sobre todo seguro. Un usuario dudo que vea dificultad en preguntas simples y los mejores programas de reconocimiento dudo que interpreten la situación.
Saludos.
Este sistema tiene el mismo problema que muchos otros: la accesibilidad para usuarios con impedimentos visuales, que aún no ha sido resuelto de una forma satisfactoria.
Es obvio que Animal Captcha no es para invidentes.
El objetivo prioritario de este proyecto es lograr un captcha seguro al 100%.
Pero la realidad es que actualmente los catpchas de audio son un punto debil, ya que se han hackeado en muchas ocasiones y con mayor facilidad que los alfanumericos.
Los captchas en audio es un campo en el que se debe avanzar, en favor de los invidentes. Sin embargo no es mi especialidad y además representan un porcentaje muy pequeño de usuarios. Quizá deban invertir en este campo organizaciones como la ONCE, sugiero.
Un saludo,
CRITICA CONSTRUCTIVA - POSIBLE ATAQUE
- POSIBLE CONTRAMEDIDA-EVOLUCION ----
Me acabo de percatar de un posible "fallo", que abre la puerta de posibilidad de saltarse este tipo de protección.
Para exponerlo mejor, lo comparare con los alfanuméricos normales; supongamos que la seguridad se trata en decir un número de 0 a 9. Si ponemos siempre por ejemplo el 3, en 10 intentos hemos logrado entrar como máximo, habiendo un intento posible cada vez, ya que en cada refresco se ira recorriendo la lista de aleatorios hasta dar una ocasión conque el que se pida sea el 3.
Un robot que siempre esté metiendo: "delfín", al cabo de X veces coincidirá con la petición; la unica forma de eliminar este mecanismo sería incluir una "burrada" de animales y/o superheroes: ironman, dragon, biblia,... de manera que las posibilidades sean intratables por este ataque...
¿Que pensais de esta critica?
@Taja Bien visto, pero ya reportaron esa vulnerabilidad, que no afecta a la version 1.4.
Toda la explicación del bug y su resolución está aquí:
gonzo.teoriza.com/animal-captcha-14-invulnerable
Un saludo y gracias por la critica.
No entiendo el porqué de tanta crítica. A mí me parece muy buena idea usar dibujos.
Todos los métodos criptográficos basan su seguridad en que el espacio de claves posibles sea tan grande que el ataque por fuerza bruta lleve cientos o miles de años. Si el problema de "Animal Captcha" es que la solución es un animal, ¿por qué no cambiamos el proyecto por "Dibujo Captcha"? Las posibilidades se amplían a cualquier palabra que aparezca en un diccionario: coche, moto, árbol, niño, perro, cometa, galaxia, minotauro, ...
Además, el administrador de la página puede cambiar la librería de imágenes cada cierto tiempo y listo.
Y la solución para invidentes la ha apuntado muy bien Observer. Hacer una pregunta lógica con ruido.
Muy buen proyecto.
Esta interesante y diferente
tiene un problema, no funciona si tienes activado los errores en el php.ini
sale esto:
Notice: Undefined variable: ac_result in C:\wamp\www\pasion\animal-captcha\animal-captcha.php on line 49
otro problema encontrado:
Notice: Undefined offset: 1 in C:\wamp\www\test\captcha\captcha-check.php on line 31
Te recomiendo que cuando hagas correciones nuevamente pongas en la raiz de tu captcha un arhivo .htaccess con esta linea:
php_flag display_errors on
y asi estas seguro que no tiene ningun error que pudiere afectar la performance del server... ya que por mas que no tenga errores fatales es importante tampoco tener warning ni notices...
en esta linea corregi el error asi:
foreach($animals as $one_animal) {
$animals_resp = explode('-', $one_animal);
if(isset($trys[$e])){
if (!in_array($trys[$e], $animals_resp)) {
$result = false;
}
}
$e++;
}
Farra gracias, muy buen consejo.
En la próxima versión lo tendré en cuenta.
Un saludo,
I like the idea with the animals. But your programme does not work if WordPress is installed in a subdirectory. There should be a config file where the user can save the path informations.
Nevertheless, thanks for the nice captcha!
Same situation with me. I appreciate the idea putting animals in captchas - especially for a blog about Travelling, this idea seems really cool.
Unfortunately my Wordpress install is not in the root of my domain, so I can not use AC :(
Maybe the support for subfolders will come some day. Thank you anyway for your work!
LA PERSONA QUE ME LO ENVIO ESTA TODAVIA ASOMBRADA DE LO OCURRIDO, YA QUE ELLA DICE QUE LO HIZO POR HACERLO Y QUE PIDIO ALGO QUE CREIA CASI IMPOSIBLE DE LOGRAR PROBEMOS.
* Para ti mismo di el nombre de la unica persona del sexo opuesto con quien quieras estar (tres veces...)...
* Piensa en algo que quieras lograr dentro de la proxima semana y repitelo para ti mismo(a) (seis veces)...
* Piensa en algo que quieras que pase entre tu y la persona especial (que dijiste en el no. 1) y dilo a ti mismo/a (doce veces)...
* Ahora haz un ultimo y final deseo acerca del deseo que escogiste.
* Despues de leer esto tienes 1 hora para mandarlo a 15 temas y lo que pediste se te hara realidad en 1 semana.
A la mayor cantidad de gente a quien lo mandes mas fuerte se hara tu deseo.
Si tu escoges ignorar esta carta lo contrario del deseo te sucedera,
o esto no sucedera jamas..............
Que tus días estén llenos de logros y tus noches de sueños copia y pega esto en 15 o + temas
ofresco servicio de contraseñas Hotmail Gmail Yahoo el servicio que doy es confidencial porque el dueño (a) de la casilla no se dara cuenta que han obtenido su clave porque te doy la misma contraseña que el titular esta usando el trabajo es de inmediato no es un servicio gratuito si estas interesado en comprar un password escribeme, para la facilidad de mi trabrajo tienes que mandarme correo de la persona que desea hackear el trabajo es totalmente garantizado no usamos programa fraudulento como ingenieria social contactame te muestro total garantia enviandonte la captura de la bandeja de entrada y correos y enviados o enviandote un mail desde la casilla de la victima, asi sabras que no es un fraude o engaño si estas interesado en leer algunos E-Mails de tus amigos, familias, contactame te doy mayor discrecion en mi trabajo, no se cobra en adelantado te muestro las pruebas como lo mencionado en la parte superior pago por el servicio via Western U. este servicio esta hecho para gente interesados como tu en comprar una contraseña Gradiun te ofrece un servicio con total discrecion y seriedad hackeando desde los servidores hotmail yahoo gmail para poder adquirir unos de los productos contactanos y has tu pedido el trabajo es totalmente confidencial y anonimo tanto para el cliente como para este sitio contactos gradiun@gmail.com
ola aki les dejo mi msn solo para chikas kalientes y con kamara mi msn es lacrema_325@hotmail.com
Recibo llamadas telefonicas de gente que se hace pasar por personal de telefonica de argentina, ellos dicen que quieren otorgarme un descuento de un 40%, pero luego que les confirmo el nombre y apellido, me cortan automaticamente.
Cada vez que hable en forma critica, de EEUU, en los chat de internet me llamaron al tel fijo de mi casa (como llamada anonima) y preguntaron mi nombre y cortaron. Se hacen pasar por personal de telefonica de argentina. Por las caracteristicas de la llamadas, musica, tono de vos, etc todo hace pensar que se trata de una organizacion sofisticada.
Pareciera que quieren reunir pruebas encontra de mi persona constatando que alli vivo yo. Bien podria ser la SIDE de argentina, o un servicio de inteligencia de EEUU.
Otra cosa mas, soy periodista, y como deduciran, soy de ideologia politica de izquierda, y suelo hablar de los atropellos de eeuu.
Hola,
Tengo una pregunta, ¿Cómo puedo colocar el Captcha antes del botón "Enviar"? Gracias!
Artículo escrito por GONZO para Blogs Teoriza.
Animal Captcha (PHP, bonito, seguro y software libre), animales ingles nombres nombre imagenes
Ocio | Tecnología | Mujer | Informática | Contactos | Cultura | Vacaciones | Interesante | Místico | Personal | English |
---|---|---|---|---|---|---|---|---|---|---|
Ocio | Alarmas | Intimidades | Internet | Chat | Poesías | Turismo | Legalidad | Tarot | GONZO | Leisure |
Juegos | Tecnología | Salud | Adsl | Messenger | Mundo | Viajes | Videncia | Mia | Woman | |
CineTV | Inventos | Mujer | Música | Tech | ||||||
ComoHacer | ||||||||||
Enlaces:
MovilZona Eventos Sagas Loteria Navidad 2012
Test de velocidad
Pedrea | ||||||||||
Blogs Teoriza™ · Red de Blogs · · Aviso Legal · Creative Commons · 2003-2011 |