GONZO

Info

Artículos: 406
Comentarios: 5.293
¡Salta a otro artículo!

Segui @JavierGonzalez

Lo último publicado

El maquillaje de moda para la primavera 2013, como
Gran Hermano 14. Concursantes y novedades, res&uac
Cancelación y retrasos en vuelos. Indemniza
Escapadas y viajes románticos para San Vale
Cómo instalar WhatsApp en nuestro smartphon
Nuevo disco de Thalia. Habítame siempre. Le
Chatear, hacer amigos o buscar pareja en Encontrar
Ofertas de tarifas para internet móvil,, co

Archivo

2012
2011
2010
2009
2008
2007
2006
2005
2004

Categorías

Proyectos
Weblog
Personal
Conocimientos
IRC
Linux

Enlaces

Mangas Verdes
Microsiervos
Gonzalo Ruíz
Dondado
Hispalug
De Mas
Com

Animal Captcha 1.5

Hace unos meses NachE me señaló una vulnerabilidad en Animal Captcha 1.4 (una vez más). Y juntos lo investigamos.

Su ataque, el más avanzado de los que tengo conocimiento, consiste en la posterización del repertorio completo de las imagenes originales para su posterior conteo de pixeles coincidentes. Despues un ranking indica el más coincidente que es el animal que más probabilidad tiene.

Esta tecnica resultó ser más efectiva de lo que yo esperaba. Tiene un 80% de precisión de media con una sola imagen y teniendo el repertorio original, sin aleatorizar.

He tomado medidas para mitigar este tipo de ataque:

Efecto espejo aleatorio: Hace un flip horizontal aleatorio, siendo la imagen igualmente distinguible.
Estiramiento aleatorio: deforma la imagen en 4 direcciones y evita que coincidan los pixeles.
Añadidas nuevas imagenes: 72 en total + 8 objetos (en desarrollo).
Ajustes mejor afinados.

Con estas medidas se ha reducido la eficacia del ataque hasta el 35%, siempre que se posea el repertorio original e intentando una sola imagen por vez.

Ejemplo de la aleatorización actual: (para el elefante obviamente).

¿Qué significa esto? Pues que el concepto de Animal Captcha tiene una debilidad natural, si el atacante posée el repertorio original completo (con las imagenes sin aleatorizar).

Sin embargo, el sistema sigue siendo totalmente seguro si se crea un repertorio inédito y no publicado. Y más, si cabe, aumentando el numero de animales por test (recomendado 2 aunque en Teoriza esté usando solo uno).

La configuración depende del industrial stretch requerido. Por ejemplo, para detener el spam de cualquier blog (muy o poco importante) con 1 animal es suficiente (si hay problemas, se aumenta a 2 y listo). Sin embargo, si eres el dueño de una importante web susceptible de que alguien esté interesado en dedicar muchas horas y esfuerzo en hackearlo... mi consejo es dedicar un par de horas y crear un repertorio de animales 100% original y aumentar a 2 el numero de animales.

Animal Captcha

Twittear

Artículos relacionados:

Animal Captcha (PHP, bonito, seguro y software libre)
Animal Captcha 1.4
Animal Captcha plugin para Wordpress
Wordpress 1.5 Strayhorn
Animal Captcha 1.4: captcha gráfico con animales, script PHP
Animal Captcha 1.2, nueva versión mejorada la seguridad de aleatorización y pequeños bugs

+1 GONZO 30-03-2010
Categoría: Proyectos

Artículo escrito por GONZO para Blogs Teoriza.
Animal Captcha 1.5, animales

Ocio	Tecnología	Mujer	Informática	Contactos	Cultura	Vacaciones	Interesante	Místico	Personal	English
Ocio	Alarmas	Intimidades	Internet	Chat	Poesías	Turismo	Legalidad	Tarot	GONZO	Leisure
Juegos	Tecnología	Salud	Adsl	Messenger	Mundo	Viajes		Videncia	Mia	Woman
CineTV	Inventos	Mujer			Música					Tech
					ComoHacer
Enlaces: MovilZona Eventos Sagas Loteria Navidad 2012 Test de velocidad Pedrea
Blogs Teoriza™ · Red de Blogs · · Aviso Legal · Creative Commons · 2003-2011