Hace unos meses NachE me señaló una vulnerabilidad en Animal Captcha 1.4 (una vez más). Y juntos lo investigamos.
Su ataque, el más avanzado de los que tengo conocimiento, consiste en la posterización del repertorio completo de las imagenes originales para su posterior conteo de pixeles coincidentes. Despues un ranking indica el más coincidente que es el animal que más probabilidad tiene.
Esta tecnica resultó ser más efectiva de lo que yo esperaba. Tiene un 80% de precisión de media con una sola imagen y teniendo el repertorio original, sin aleatorizar.
He tomado medidas para mitigar este tipo de ataque:
Con estas medidas se ha reducido la eficacia del ataque hasta el 35%, siempre que se posea el repertorio original e intentando una sola imagen por vez.
Ejemplo de la aleatorización actual: (para el elefante obviamente).
¿Qué significa esto? Pues que el concepto de Animal Captcha tiene una debilidad natural, si el atacante posée el repertorio original completo (con las imagenes sin aleatorizar).
Sin embargo, el sistema sigue siendo totalmente seguro si se crea un repertorio inédito y no publicado. Y más, si cabe, aumentando el numero de animales por test (recomendado 2 aunque en Teoriza esté usando solo uno).
La configuración depende del industrial stretch requerido. Por ejemplo, para detener el spam de cualquier blog (muy o poco importante) con 1 animal es suficiente (si hay problemas, se aumenta a 2 y listo). Sin embargo, si eres el dueño de una importante web susceptible de que alguien esté interesado en dedicar muchas horas y esfuerzo en hackearlo... mi consejo es dedicar un par de horas y crear un repertorio de animales 100% original y aumentar a 2 el numero de animales.
Twittear |
Artículos relacionados:
Artículo escrito por GONZO para Blogs Teoriza.
Animal Captcha 1.5, animales
Ocio | Tecnología | Mujer | Informática | Contactos | Cultura | Vacaciones | Interesante | Místico | Personal | English |
---|---|---|---|---|---|---|---|---|---|---|
Ocio | Alarmas | Intimidades | Internet | Chat | Poesías | Turismo | Legalidad | Tarot | GONZO | Leisure |
Juegos | Tecnología | Salud | Adsl | Messenger | Mundo | Viajes | Videncia | Mia | Woman | |
CineTV | Inventos | Mujer | Música | Tech | ||||||
ComoHacer | ||||||||||
Enlaces:
MovilZona Eventos Sagas Loteria Navidad 2012
Test de velocidad
Pedrea | ||||||||||
Blogs Teoriza™ · Red de Blogs · · Aviso Legal · Creative Commons · 2003-2011 |