domingo, 10 de junio de 2007

EsNic nos enseña como no hacer un 'captcha'

Un captcha es un gráfico que representa letras o números ligeramente deformados cuya utilidad reside en que un humano (a veces con un poco de esfuerzo) es capaz de interpretarlo, pero un ordenador no. Para ello son habituales los caracteres deformados con efectos de agua, colores poco contrastados entre las letras y el fondo, rayas de colores llamativos en los caracteres y cosas asi con el objeto de que ni siquiera un programa de OCR sea capaz de reconocer los caracteres.

¿Para que es útil este sistema?. Para poder estar seguros de que lo que hay 'al otro lado' es un humano y no un programa. Uno de los sitios tipicos donde se usan es los whois, y el motivo es evitar que un programa pueda hacer cientos de peticiones por segundo y sea capaz de 'llevarse' la base de datos con la informacion de los dominios saturando, de paso, el servidor de whois.

Por todo esto, es realmente sorprendente (y casi me dan ganas de decir que indignante) lo que ha descubierto Ricardo Galli: EsNic mete dentro del formulario html --en texto plano facilmente recuperable-- el resultado del Captcha haciendo que sea completamente inutil. Tanto es asi que Ricardo ha hecho un sencillo programita en perl que realiza la consulta a la base de datos saltandose el sistema de validación.

Cuando hace un par de años nic.es cambio su interface ya hubo bastantes problemas (y en esa época yo estaba metido en temas de registros de dominio, asi que lo recuerdo bien). Despues, el año pasado, cuando se abrió a todo el mundo la posibilidad de registrar dominios .es volvieron a suceder cosas extrañas. Y ahora esto.

Hay que ser chapucero. ¿Cuanto tiempo tardará alguien en aprovecharlo?

Actualización: Estoy haciendo algunas pruebas y tampoco yo acabo de entender para que vale el randomStr que comenta Ricardo, parece que como su nombre indica, es solamente una cadena aleatoria que no sirve para nada.

Y tambien: el codigo html esta completamente mal formado con cosas como <link..> antes incluso de la etiqueta <html>. Es casi increible que la página se muestre de forma mas o menos correcta en el navegador (esto dice mucho, incluso, de Internet Explorer) con lo mal formada que esta. ¿Y esta gente tiene la certificacion ISO 9001 de Aenor?. Eso tambien dice mucho, pero negativo, de dichas cerificaciones.


Visto en meneame