it-swarm-es.com

¿Alguien que usa Asirra en producción? ¿Hay alternativas similares?

El Proyecto ASIRRA es una alternativa de CAPTCHA que le muestra imágenes de gatitos y cachorros para defenderse de los bots y demostrar que el usuario final es un humano.

¿Alguien está usando Asirra (o algo similar) en la producción? ¿De qué alternativas sabes?

http://research.microsoft.com/en-us/um/redmond/projects/asirra/installation.aspx

Aunque me gustaría usar imágenes que no sean gatitos, noté que desde un punto de vista de la implementación está totalmente administrado a través del lado del cliente JavaScript. Pensaría que este tipo de solución se rompería fácilmente con un método de forma invocado manualmente.

¿Es esta técnica común en el mundo CAPTCHA? ¿Hay alguna manera de controlar la lógica en el lado del servidor?

¿Cuáles son sus pensamientos sobre su implementación, alternativas y cómo se podría hacer una versión más segura?

2
goodguys_activate

Al no relacionar específicamente a Asirra, pero WRT CAPTCHA en general, elaboraré en el punto de @ Graham y lo diré a los siguientes enlaces:

En caso de que seas perezoso, aquí están los aspectos más destacados ...
Las 3 formas generales de romper captchas son:

  • Implementación rota (por ejemplo, configuración incorrecta, ajustes incorrectos, imágenes estáticas, exponiendo la respuesta, etc.), pero probablemente no se aplica a Asirra, a menos que su configuración dependiente de la configuración
  • Inherente a la computabilidad inversa: si puede construir un programa para desenfocar algo que es aún legible , puedo construir uno para desbloquearlo. I.E OCR es bastante bueno, al menos si la imagen es legible por un humano.
  • Poner a un humano en la mezcla, ya sea por:
    • CAPTCHA FARMS: Pagando a alguien pequeña cantidad de dinero, hay un mercado para esto: He visto anunciado en los paquetes de eBay de 1000 CAPTCHAS "SOLUCIONADOS" por 4 $, con una confiabilidad coincidente% SLA
    • Proxies CAPTCHA, por ejemplo. Puedes acceder a PR0N si resuelves este captcha ... o incluso haz un juego de él.

Resumir (como a menudo he hecho en este tema):

CAPTCHA trata de resolver el problema equivocado, y lo hace mal: incluso si funcionó perfectamente, el problema no es "Quiero identificar quién es una computadora y quién es humano y permite que solo los humanos usen mi sitio. , pero más bien "quiero prevenir el uso indebido e inundación en mi sitio".
No deberíamos estar tratando de atender a los usuarios, deberíamos estar limitando lo que podrían hacer.

O mejor:

La autenticación (o la identificación) es un mal reemplazo para la autorización.

8
AviD

Cualquier mecanismo de CAPTCHA se puede subvertir al encontrar una economía débil y dar a las personas una pequeña cantidad de dinero para resolver una gran cantidad de captchas.

6
user185

Asirra hace la validación del lado del cliente solo por conveniencia, es decir, para que pueda diseñar una página web que evite que el formulario se envíe sin que se resuelva CAPTCHA. Esto evita que la molestia de navegar lejos de un formulario llenado solo se le indique que el CAPTCHA falló.

En Asirra, como se describe la página de instalación, la seguridad real proviene del hecho de que el código que escribe en el procesamiento de formularios de back-end para realizar también debe presionar el servicio ASIRARA y asegurarse de que el formulario se envió con un boleto válido que Se entrega a los clientes solo cuando se ha resuelto el desafío.

Por supuesto, ya que los carteles anteriores describen, esta "seguridad" solo dice que alguien o algo ha identificado 12 imágenes como gatos/perros. No hay una buena manera de saber, por ejemplo, si las fotos estaban realmente resueltas por algún AI avanzado o por un hombre en China trabajando por $ 3/hr (ver PixProfit.com)

2
coderguy

El MSFT Ajax Toolkit tiene una implementación gratuita de CAPTCHA que utiliza una variedad de medios transparentes para verificar un usuario. ejemplo de demostración

Este es un código bastante inteligente que se puede incorporar a otros sistemas para el ultra-bot-paranoico.

1
goodguys_activate

Asirra es utilizado por el Club Bing de Microsoft. http://www.clubbing.com

http://decaptcher.com proporciona servicio de Asirra, pero su servicio es muy pobre.

0
Eyal