¿Creéis que este captcha es medianamente seguro?

MarceFX · #1 (**permalink**) 10/11/2012, 11:32

Hola,

Sin entrar en detalles sobre por qué vamos a usar el siguiente captcha, quería preguntaros a ver qué os parece. Estamos en una web de anuncios clasificados. Cada anuncio está asignado a una provincia española.

Con una variable recuperamos la provincia del anuncio y la mostramos en la web claramente al usuario en el título del anuncio. El captcha muestra algo así:

Código HTML:

Introduce la provincia del anuncio: _____

Para la verificación, en PHP recuperamos la variable "provincia" y si no coincide con el valor que acaba de introducir el usuario la verificación falla y el formulario no se envía. Hay 52 posibles respuestas. ¿Qué os parece?

Gracias

rolygc · #2 (**permalink**) 10/11/2012, 11:42

- y el ke no sepa geografia ?
- y el emigrante ke viva en espana y no conozca sus provincia porke no estudio alli

no podra poner anuncios.

no seria mejor algo internacional, como matematicas. entra el valor de 2 + 3
o algo como geometria entra el nombre de la figura geometrica de la imagen y ahi tienes cuadrado, rectangulo, triangulo, poligonos, obalos, etc.

Creo ke muchisimas mas personas sabran esto ke las provincias de espana

para mi la idea no es mala, pero piensa ke tu kieres ke tu web se use, y esto le pondrias un impedimento ke algun gallego se moleste porke no sabe la provincia tal, o el emigrante, y no use tu web y use otra ke tenga un captcha mucho mas amigable y rapido de usar.

Mi consejo.

MarceFX · #3 (**permalink**) 10/11/2012, 11:46

Cita:

Iniciado por rolygc

- y el ke no sepa geografia ?
- y el emigrante ke viva en espana y no conozca sus provincia porke no estudio alli

no podra poner anuncios.

no seria mejor algo internacional, como matematicas. entra el valor de 2 + 3
o algo como geometria entra el nombre de la figura geometrica de la imagen y ahi tienes cuadrado, rectangulo, triangulo, poligonos, obalos, etc.

Creo ke muchisimas mas personas sabran esto ke las provincias de espana

para mi la idea no es mala, pero piensa ke tu kieres ke tu web se use, y esto le pondrias un impedimento ke algun gallego se moleste porke no sabe la provincia tal, o el emigrante, y no use tu web y use otra ke tenga un captcha mucho mas amigable y rapido de usar.

Mi consejo.

Pero es lo que decía antes, en el anuncio ponemos claramente al lado de la pregunta: "Provincia: Madrid", por ejemplo. No hay que saberse las provincias, por lógica, el anuncio te lo tiene que decir en algún lado.

Saludos

rolygc · #4 (**permalink**) 10/11/2012, 15:34

Nuca lei ke ibas a poner el nombre de la provincia en la imagen entonces porke no lo haces como todos los otros, entra el texto y "se acabo lo ke se daba"

cuasatar · #5 (**permalink**) 10/11/2012, 18:25

Pues no se si sera seguro o no porque digamos que yo nunca me pongo a pensar en como hacer la maldad, escasamente leo que debo hacer para evitar que la gente me haga la maldad a mi. Yo pienso que no es buena idea limitar un captcha a solo 52 provincias porque si alguien conoce tu pagina y sabe que usas siempre las provincias no le quedara muy dificil intentar armar un ataque porque ya le estas diciendo por anticipado que palabras van a salir y con un script preparado no le quedara muy dificil armar su ataque.

Sin ser experto en seguridad yo te aconsejo que pienses en incluir una segunda palabra totalmente aleatoria con eso habra un nivel mas riguroso de seguridad. Igual si existe gente con mas experiencia seria interesante que nos comente que opina al respecto.

rolygc · #6 (**permalink**) 10/11/2012, 22:19

Lo ke yo he visto ke siempre se hace, es se contruye un string random, y se guarda en una variable de session, se imprime en una imagen y depsues se compara con el valor enviado por el formulario si es igual se ejecuta el script si no parar el codigo y mostrar el error.

creas tu script de imagen.php

Código PHP:

  session_start();  

$captcha = '';

for ( $c = 0; $c < 5; $c++ ) 
{  
        $captcha .= chr(rand(97, 122));  
}

$_SESSION['captcha'] = $captcha;  

// definir el directorio de tipo de letras
$fonts = 'fonts/';  

// imagen base de 200px de ancho por 80 de alto
$imagen = imagecreatetruecolor( 200, 80 );  

// definir colores
$negro  = imagecolorallocate( $imagen, 0, 0, 0 );  
$rojo    = imagecolorallocate( $imagen, 200, 100, 90 ); 
$blanco = imagecolorallocate( $imagen, 255, 255, 255 ); 

// crear un rectangulo de fondo blanco
imagefilledrectangle( $imagen, 0, 0, 399, 99, $blanco );  

// imprimir el texto random creado en la imagen de color rojo, con tamano 30, con angulo 0, 10px a la izierda y 40 de alto  
imagettftext ( $imagen, 30, 0, 10, 40, $rojo, $fonts . 'arial.ttf', $_SESSION['captcha'] );  

// le dices al navegador ke tipo de imagen haras
header( 'Content-type: image/jpeg' );  

// imprimir la imagen
imagejpeg( $imagen );

tu formulario

Código PHP:

  
<form method="post" action="script.php">
   <input type="hiddden" name="envio" value="1" />

   <label for="nombre">Nombre: </label>
   <input type="text" name="nombre" id="nombre" />  

   <label for="email">Email: </label>
   <input type="text" name="email" id="email" />

   <img src="imagen.php"/>  
   <label for="captcha">Entra el codigo: </label>
   <input type="text" name="captcha" id="captcha" />  
   
   <input type="submit" value="Enviar" /> 
</form>

tu script.php

Código PHP:

  
session_start();  

if ( isset( $_POST['enviado'] ) && $_POST['enviado'] == 1 )
{  
   if ( $_POST['captcha'] == $_SESSION['captcha'] ) 
   {  
      echo 'Codigo verificado OK';     
   }
   else
   {
       echo 'Codigo NO valido';  
    }  
}

MarceFX · #7 (**permalink**) 11/11/2012, 03:22

Pues muchas gracias por las sugerencias. La verdad es que tenéis razón. La cosa es que esta decisión no es mía, sino del "equipo de diseño", que quería usar preguntas lógicas y no usar captchas de letras.

Antes usábamos 5 letras aleatorios en una imagen, pero pensaron este sistema, erróneamente, por lo que veo. De todas formas, he visto algunos scripts PHP interesantes, poque buscan algo más original que el típico captcha. ¿Conocéis alguno que sea original o "divertido"? He visto algunos en plan hacer un puzzle, o llevar un punto al final de un camino, a elegir el correcto de entre dos posibles caminos.

Gracias!

MarceFX · #8 (**permalink**) 11/11/2012, 03:54

¿Qué os parece este?

http://codecanyon.net/item/fun-captcha/163632

caricatos · #9 (**permalink**) 11/11/2012, 03:58

Hola:

No recuerdo desde cuando retorqué mi captcha tal como lo tengo ahora: Comentarios y seguridad.

Seguro que cada caso de necesitar un código de seguridad será distinto, pero en el mío, evidentemente se trata de un alto porcentaje de robots o similares que insertan sugerencias de seguros, viagras y similares con muchos enlaces, y para despistarlos pongo una palabra resaltada dentro de un párrafo que con copiar y pegar se rellena el campo; pero las "mentes no-pensantes" no lo saben.

Saludos

MarceFX · #10 (**permalink**) 11/11/2012, 04:02

Cita:

Iniciado por caricatos

Hola:

No recuerdo desde cuando retorqué mi captcha tal como lo tengo ahora: Comentarios y seguridad.

Seguro que cada caso de necesitar un código de seguridad será distinto, pero en el mío, evidentemente se trata de un alto porcentaje de robots o similares que insertan sugerencias de seguros, viagras y similares con muchos enlaces, y para despistarlos pongo una palabra resaltada dentro de un párrafo que con copiar y pegar se rellena el campo; pero las "mentes no-pensantes" no lo saben.

Saludos

Me gusta, pero por ahora tenemos que intentar meter poco texto en el cuadro de contacto donde va el captcha. Estoy mirando más alternativas.

Gracias!