Como no se debe hacer un captcha
Agosto 13th, 2009 | Author: RichzendyEn muchos sitios puedes conseguir información de como hacer un captcha, este articulo esta únicamente orientado a mostrarte un ejemplo de como no realizar uno.
El sitio web http://denunciasweb.indepabis.gob.ve provee un formulario, en el cual al final para evitar que robots o spamers llenen el formulario indiscriminadamente contiene un captcha, para los que no lo saben el captcha debe ser una imagen autogenerada algo difusa e incomprensible tal vez para algún tipo de inteligencia automática ( software ) pero legible ( Tal vez ) por humanos que comprenden lo que quiere decir dicha imagen. La técnica no es nueva y se usa desde hace mucho tiempo para proteger formularios.
Bueno el sitio web http://denunciasweb.indepabis.gob.ve no incorpora un captcha autogenerado, en vez de eso, agarraron una cantidad X de imágenes tal vez fusiladas de algún captcha de otros sitios webs y las colocaron en un directorio, así que el formulario asocia la clave que se introduce por el usuario para completar el formulario y la compara con la que debe tener la imagen y que al parecer se carga de forma aleatoria desde dicho directorio.
El sistema al menos es sencillo, el detalle es que es falible y no cumple su cometido ya que luego de cierto tiempo un atacante podría saber que código corresponde a X imagen, ya que siempre son las mismas ( no son autogeneradas ) y además la tarea es aún mucho más sencilla ya que dejaron el directorio de imágenes sin protección y puedes revisar todas las imágenes => http://denunciasweb.indepabis.gob.ve/cimg/
Para no dejar esto como una critica destructiva puedo sugerir el uso de recaptcha ya que no necesita gran programación para implementarlo y es un captcha extremadamente seguro, además ayudas a digitalizar libros si lo usas 
:
Como dato curioso y antes de terminar el post les dejo la siguiente imagen perteneciente a un captura de pantalla desde mi navegador en el directorio de imágenes:
Que triste que aún estemos haciendo desarrollos de software usando tecnologias libres bajo Microsoft Windows 
No hay articulos relacionados a esta entrada.
menos mal que no querías hacer una critica destructiva!!! si tu vanidad no se fuera subido a la cabeza fácilmente pudiste haber enviado esta corrección a webmaster@indepabis.gob.ve y se fuera resuelto sin exponer a mi dominio a futuros ataques…..
Hoy por ti mañana por mi…..
PATRIA, SOCIALISMO O MUERTE….VENCEREMOS
@dionis hernandez: Lo hubiera hecho si tal vez http://denunciasweb.indepabis.gob.ve/ incorporara un formulario de contacto o información de webmaster.
Además estas siendo totalmente paranoico, yo no expuse tu dominio a futuros ataques, el dominio esta expuesto desde el momento que se creo y se colocaron servicios en el ( así como con todos ) y todos estamos expuestos a ataques, al menos ve el lado positivo, ya protegiste el directorio y por algo se comienza.
Compadre, lo que pasa es que das lastima como sysadmin, dedicate a otra verga, a la política de seguro haces real.
Mucha gente dedicado a la política, y se olvida verdaderamente la esencia de la computación o informática, por ejemplo al menos le hubieras realizado una análisis con nessus antes de sacarlo a producción, para ver las vulnerabilidades que pudiera tener.
Que quieres que haga tu trabajo por ti!!!
Dionis,
Un fraternal saludo de antemano. Me parece que estas tomandote muy a pecho el articulo… que solo demuestra lo bate quebrao que es el admin de ese dominio (Claro… es un *.gob.ve). Si no es contigo ni te preocupes hermano. aparte eso de nombrar las imagenes… alguien malintencionado podria hacer un script con un contenido como:
for captcha in {1..191}
do wget –referer=”http://denunciasweb.indepabis.gob.ve” http://denunciasweb.indepabis.gob.ve/cimg/$captcha.gif
done
y jugar con referers aleatorios, insertar un sleep con N cantidad de segundos aleatorios, implementar un cookie jar, etc…
y luego con un poco de perl pasar las imágenes por un OCR y darle duro a esa pagina….
… o por joder la paciencia descargarlas y postearlas periodicamente en la web http://www.noolvidaremos.com/indepabis_captcha.tar por ejemplo
Yo en particular estoy de acuerdo con el autor del articulo, eso de estar enviando emails y avisando de peos etc… es salvarle el puesto de trabajo a otro… amenos que sea un bug en un paquete no vale la pena promover la mediocridad. en realidad espero que boten y despidan al bolsa que administra ese servidor.
ATT
Tu pana webmaster@noolvidaremos.com
PD: Mi pana estoy vendiendo unas franelas para el proximo CNSL http://www.noolvidaremos.com/buenchavista-shirt-grande.png avísame que talla eres y te regalo una (te ves talla M o L).
upsss!!!… estas critas constructivas debiesen hacerse todo el tiempo, y los “desarrolladores” debiesen estar pendientes de corregir las cosas y no de estar dandose golpes de pecho por que alguien le dice las cosas como son. epa dionis.. si no sabes como hacer un captcha, pues busca uno que ya este echo y lo adaptas, pero no hagas esas cosas mass… lee y anda a hacer las cosas que te dicen aqui… saludos
[...] de tecnología se mantenía en manos de personal calificado. Navegando hoy en internet encontré un blog que demuestra lo inseguro que esta INDEPABIS y como se podría corregir este problema… lean [...]
Pues esto me recuerda el Captcha de CADIVI; al parecer las letras y el fondo son en colores “aleatorios” escogidos de alguna lista o “paleta” de colores algo limitada; lo que ocurre es que “a veces” (y suele ser frecuentemente) ocurren cosas como que los colores de texto (frontal) y fondo coinciden y quedamos con un captcha de texto en verde con fondo verde; conclusión?, debemos “re-cargar” la página para que nos regenere el captcha; acaso no revisaron antes ese problema?, y si el usuario no es tan experimentado y se consigue con un “captcha para daltónicos”?.
En fin; vamos queriendo salvar pellejos y realmente no se pueden salvar todos (de hecho, no se debería salvar NINGUNO) y eso de “escribirle al webmaster” pues conozco la “eficiencia y velocidad” de escribirle al webmaster o al postmaster de una institución, a veces pasan semanas hasta que leen (si es que alguna vez lo leen).
Felicidades por el artículo Rich!, saludos a la comae’ !
La falla no es nada del otro mundo.
Lo que demuestra es una cuerda de escuálidos que hay en la comunidad y que hay que ir descartando, este maricón que escribió el articulo al parecer trabaja en el gobierno junto con su novia, hay que averiguar y junto a su grupito donde trabajan y botarlos a todos, enviar un correo a toda la administración publica para que no sean contratados.
ya sabemos que la novia la tal tatica llevo a globoterror a un evento de la comunidad.
El articulo de fondo lo que demuestra es envidia por parte del que escribió.
El correo fue escrito un día antes del día debian, con toda la mala intención, le da armas a los enemigos del gobierno, es mas en una de sus fotos donde esta en cuba hace un comentario de doble sentido sobre los carros en Cuba, es tremendo escuálido, el junto a todo su grupo hay que declararlos enemigos y no deben ser contratados en ningún ente del gobierno.
Hay que enviar un correo a las listas con las fotos para que la gente los identifique.
hay que identificarlos.
Hola!!
Soy un estudiante de 10mo semestre de Ingenería de Computación en la Universidad Valle del Momboy, en Valera Estado Trujillo. Soy de San Cristóbal, estoy desde febrero del 2002 aquí en Valera. Conseguí el amor en marzo del 2004, una valerana muy especial, y de la cual me siento muy enamorado. Desde hace varios años atrás he estado muy interesado en todo lo relacionado con los avances tecnológicos y más aún, con el software libre, específicamente GNU/Linux.
tremendo escualido
identifiquenlo
http://richzendy.org/Galeria/album/72157614067910992/photo/3290742992/fotos-mias-mi-papa-y-yo.html
Lo peor de todo va a Cuba en un avion de conviasa y con un grupo de Chavistas.
http://richzendy.org/Galeria/album/72157614676864405/photo/3325095141/cuba-subiendonos-en-el-avion.html
@Poder popular:
Es cierto que “la falla no es nada del otro mundo”, nunca dije que lo fuera.
Me permito citarte “Lo que demuestra es una cuerda de escuálidos que hay en la comunidad y que hay que ir descartando, este maricón que escribió el articulo al parecer trabaja en el gobierno junto con su novia, hay que averiguar y junto a su grupito donde trabajan y botarlos a todos, enviar un correo a toda la administración publica para que no sean contratados.”
Compañero soy Chavista y a mucha honra, pero no por ello debo hacer la vista gorda cuando veo la incompetencia y la desidia que nos invade, acuérdate de la RRR, el insulto está de más y demuestra tu alto grado de ignorancia al intentar usar palabrotas para expresarte y por último, tatica no trabaja en la administración pública, yo si y me gane mi trabajo en base a mucho esfuerzo y dedicación y no con palancas, así que no le debo nada a nadie, para nadie es un secreto donde trabajo, tengo muchos años usando linux y soy parte de la comunidad de Software Libre desde hace muchos años tb.
“El correo fue escrito un día antes del día debian, con toda la mala intención, le da armas a los enemigos del gobierno, es mas en una de sus fotos donde esta en cuba hace un comentario de doble sentido sobre los carros en Cuba, es tremendo escuálido, el junto a todo su grupo hay que declararlos enemigos y no deben ser contratados en ningún ente del gobierno.
Hay que enviar un correo a las listas con las fotos para que la gente los identifique.”
Chamo, eres un ridículo y desubicado, al que hay que identificar en las listas eres tu que eres un amanecido en la comunidad de Software Libre, a mi me conocen, estuve en el día debian, me viste y no tuviste cojones para decirme esto en la cara… para nada escribí esto con la mala intención, la única intención era que corrigieran y ya lo logre y me siento satisfecho con ello, para tu información las otras personas que comentaron acá no trabajan en entes públicos…
“tremendo escualido
identifiquenlo
http://richzendy.org/Galeria/album/72157614067910992/photo/3290742992/fotos-mias-mi-papa-y-yo.html”
Que miedo, verga estoy temblando, descubriste al agua tibia visitando mi galería de fotos, si tuviera algo que ocultar esa galería no existiría.
“Lo peor de todo va a Cuba en un avion de conviasa y con un grupo de Chavistas.
http://richzendy.org/Galeria/album/72157614676864405/photo/3325095141/cuba-subiendonos-en-el-avion.html”
Viejo, ese viaje me lo gane debido a mi rendimiento laboral, no a favores ni jaladera de bolas, tenía 3 años trabajando sin agarrar vacaciones…
Para los lectores de este comentario, el que escribió los anteriores comentarios es el mismo doliente administrador del sistema “Dionis Hernandez” firmo sus posts con la dirección de correo linuxcaracas@gmail.com que casualmente esta relacionada con el dominio de su blog http://dionisus.linuxcaracas.org.ve, al parecer el carajo le encanta insultar usando seudónimos.
@Poder popular
Creo que no sabes ni donde estás parado, Globovisión asistió este año porque yo envié una invitación general a TODOS los medios de comunicación… Venezuela es libre y el conocimiento también, si ningún medio de comunicación del estado asistió, culpa mía no es y de testigos están las 75 personas que me ayudaron a organizar el FLISoL este año y que han depositado su confianza en mi nuevamente para el próximo.
Así mismo, creo que no sabes de lo que hablas… o es que te olvidas de que el año pasado el FLISoL lo levanté con mi propio presupuesto (y soy empleada privada) porque el INCES quitó la sede/patrocinio/protocolo y todo lo que había ofrecido 4 días antes del evento??? disculpame por ayudar…
Como nota de vida te dejo escrito lo siguiente: El respeto, la voluntad grupal, el compañerismo, la fraternidad, la ideología y el movimiento de masas es algo que se gana por meritocracia. Ahh… y por cierto; gracias por tus insultos en mi blog; eres lo suficientemente inteligente como para no escribir tu nombre pero NO como para loguearte en una maquina distinta o cambiarte la ip… mala praxis mi querido sysadmin
/me set mode +broma
Este es Dionis Hernandez => http://www.indepabis.gob.ve/sites/default/files/fotos_dia_debian/44.html
IDENTIFIQUENLO! si lo ven en la calle diganle “TARA” si lo leen en una lista de correo contestenle _tara_
Saludos,
Richzendy, felicitaciones por tu post. No solo es objetivo si no didáctico y MUY constructivo. No entiendo en qué parte se lo pueden haber tomado como un ataque personal, más aún cuando envías una solución práctica que pueden implementar en un par de horas.
De hecho no conocía recaptcha. Creo que voy a utilizarlo desde ahora.
Thx!
viejo, tu lo que eres es un bate quebrado.
La verdad duele, no puedo ser tan mediocre y no decir lo que pasa, que quieres que me quede callado para salvar tu “carguito”, muchacho pendejo dedícate a tus patrullas del psuv y olvídate de la computación y de linux, que no es para todo el mundo, solamente esta abierto a las criticas y a poder retroalimentarse cada día, si no sabes aceptar una critica estas miando fuera del perol, igual que Richendy también tengo fotos y digo quien soy, no oculto mi identidad por que no le debo a nadie pero pareces que tu si, ni si quiera tienes las bolas de colocar tu nombre revisa entre la entrepierna si tienes totona o bolas, me inclino por la primera.
No trabajo en el .gob.ve y si lo fuera igual haría mis criticas como siempre lo he hecho, no vivimos en le mundo de heydi en todo es normal y felicidad, donde todo es perfecto, que bueno que reflexionaste y cambiaste el captcha.
Gracias por la información mía ya la actualice, http://julio.jhuss.com/acerca-de-mi/
Por ultimo el trabajo de sysadmin no es para TARAS o carajitos.
@bigjocker, exacto, nunca fue un ataque personal, lástima que se haya tomado así, es más, peor aún que el pendejo este asume que es un ataque a la revolución, de cuando acá tu ( si tú mismo “Poder popular” o $CON_EL_NICK_QUE_QUIERAS_USAR_LA_PROXIMA_VEZ ) incompetencia ( o la de tu equipo de trabajo ) y/o omisión es un ataque a la revolución? ponte a estudiar más bien, en vez de andar jodiendo la paciencia ajena.
No busques responsables de tus acciones y no culpes a los demás por hacerte conocer tus errores ( o los de tu equipo de trabajo ).
Lo que eres es tremendo escuálido, y envidioso.
Una persona que en su blog escriben puros escuálidos y tienen links de una pagina que ataca al gobierno y de una franela que dice mejor un Chavista muerto que vivo. es un escualidoooo. Yo los hubiera vaneado y hubiese tomado una actitud critica, pero aun están hay.
Eres un escuálido de closet atacas a gente de la misma administración publica con argumentos egoístas y que reflejan lo envidioso y miserable que eres. reconoce eres un escuálido y tu jefe debería enterarse y sacarte esposado por infiltrado.
hasta los sites mas seguros están expuestos a ataques o cualquier error de todo tipo y no por eso califican al administrador de todo lo que han dicho tu junto a todos tus amigos escuálidos que te aplauden.
los argumentos que expresan son de fondo pura envidia, hablando de cargos y jaladera de bolas. eres tremendo escuálido tengas o no razon y eso hay que difundirlo. te aseguro que la información, le va a llegar a la autoridad principal donde trabajas.
@Poder_Popular ¿Ahora Richzendy es escuálido? ¿solo por que publicó la información de una falla en un sitio donde lo administran puros “chavistas”? Puedes ser chavista o escuálido o cualquier término de esos politiqueros que inventan, pero eso no implica que debas ser inútil al administrar un sito, que además es propiedad del gobierno y que debería tener un personal técnico excelente, más bien al que deberían sacar esposado es a ti, por tara y no cuidar bien información gubernamental, por chavistas como tú es que las cosas no funcionan.
Aparte de no saber administrar servidores tienes una ortografía muy mala, “vaneado”, “aun están hay”, a ver si vas a una de las misiones para que te enseñen a escribir bien.
Explica cuales son los argumentos egoístas y por que este pana es envidioso y miserable.
Pana, dedícate a otra cosa, a salir a marchar o algo así, por que como administrador te falta bastante, y lo peor es que no lo reconoces sino que te alteras por eso, ¿así son todos los chavistas? .. Por eso es que la revolución no avanza.
La idiotez no tiene preferencias o bandos políticos, lo acabas de demostrar .. Uh ah!