Parere su un captcha

[carlo2002]

Visto l'insicurezza crescente dei vari captcha ho pensato di fare una cosina diversa.

http://www.4null.net/contatto/modulo.php

Pensate possa essere un'idea valida soprattutto dal punto di vista della violabilità?

[peppeocchi]

Potrebbe essere un'idea valida....Dipende da com'è implementato per quanto riguarda la sicurezza. Non penso che essa sia legata solo alla difficoltà di risolvere il captcha... Ma è comunque un'idea originale, alternativa al classico input di caratteri stampati su un'immagine. Ma io non ne so molto di captcha e di sicurezza degli stessi....

[nICO80]

Carino! Diciamo che se non è un form che i visitatori devono riempire spesso non è male come idea, altrimenti io dopo la 2a volta mi romperei un po' di scegliere 4 combobox....

Per quanto riguarda la sicurezza, ha il vantaggio di essere diverso da quelli normali e quindi non ci saranno bot capaci di bypassarlo. Questo ovviamente non vuol dire che sia sicuro al 100%: mi viene in mente un metodo per fregarlo con le GD libraries che non richiede più di 5 minuti per essere implementato. Ovviamente vorrebbe dire che qualcuno è interessato specificamente ad hackare il tuo sito.

[carlo2002]

In effetti 4 select potrebbero sembrare scomode, però molte volte i classici captcha sono talmente distorti che diventa una rottura capirli, per non parlare di quelli audio che trovo incomprensibili. Con 15 opzioni per ognuna risultano sulle 50mila possibilità spero siano sufficienti altrimenti tocca aumentare gli animali e/o le select.

Riguardo la sicurezza ho cercato di non passare tra le pagine dati che possano svelare la soluzione.

Quando una persona accede al modulo vengono scelti 4 animali a caso e memorizzati nel database assieme al session_id dell'utente.

Le quattro immagini vengono create da un file a cui vengono passati dei valori che nulla hanno a che fare con la soluzione

codice:

[img]img.php?img=1[/img]

così lo script va a vedere nel database rispetto alla sessione dell'utente qual'è l'animale relativo per ogni immagine.

Quando il messaggio viene inviato oltre alla solita validazione dei dati viene anche controllato che i quattro animali del captcha corrispondano con quelli memorizzati nel db sempre facendo riferimento all' id di sessione.

Sto cercando di capire se in questo ragionamento ci può essere qualcosa che non va :master:


@nICO80

Non si tratta se qualcuno è interessato o no a violare il mio sito, mi interessa quali potrebbero essere le scappatoie per violare il captcha.
Quale sarebbe il sistema per fregarlo con le GD libraries in 5 minuti?

grazie

[nICO80]

1) salvarsi sul disco tutte le immagini degli animali (basta ricaricare la pagina un tot di volte e alla fine le trovi tutte).
2) aprire le immagini in un qualsiasi programma di grafica e trovare i colori dei primi 2 o 3 pixel. Le immagini sono tutte diverse, quindi probabilmente i primi 2 pixel saranno differenti in ciascuna immagine. Non ne bastassero 2, uno se ne salva 3 o 4.
3) scrivere una paginetta in PHP che carica la tua pagina (es con fsockopen), prende le 4 immagini e le analizza con GD per trovare i colori dei primi 2 o 3 pixel e confronta i valori con quelli trovati in precedenza.

Ok magari ci vogliono 20 minuti e non 5... ma il procedimento non è poi così difficile.

[carlo2002]

Accidenti, allora è totalmente insicuro

Che idee balenghe che mi vengono :rollo:

[nICO80]

No vabbè, non direi totalmente insicuro. Comunque ferma la gran parte dei bot (tutti quelli non costruiti per questo particolare captcha) e una buona parte di hacker "in erba" (a cui non verrebbe in mente la soluzione proposta qui sopra).

Una cosa che potresti fare sarebbe di creare un'immagine con GD che mostri un tot di cerchi di un certo colore.
Es. hai 3 cerchi blu ed 1 rosso. Poi domandi quanti certchi blu ci sono? Ovviamente colori, numero e posizione dei cerchi sono random.

Anche questo non è sicuro al 100%, ma scrivere un programma per bypassarlo richiederebbe molte ore di lavoro e notevoli capacità di programmazione...

[carlo2002]

E con un filmato flash? Non si potrebbero passare lettere e numeri casuali ad un filmato? Così sarebbe più difficile da violare?