:: eliax.com - Nuevo sistema anti-SPAM en eliax con simples CAPTCHAs, explicado

texto: A- A+

domingo, marzo 24, 2013

Nuevo sistema anti-SPAM en eliax con simples CAPTCHAs, explicado
eliax id: 10079 josé elías en mar 24, 2013 a las 11:07 AM ( 11:07 horas)

Hola amig@s lectores,

Si tratan de comentar desde anoche en eliax notarán que ahora el formulario de comentar te hace una pregunta aparentemente tonta (te pregunta el resultado de sumar dos números), y estoy seguro que muchos ya sabrán la razón, pero para los que no, acá va una breve explicación...

A ese tipo de preguntas al final de un formulario se les llama CAPTCHA (palabra que en inglés suena un poco a decir la frase "I catched you", que en español sería algo como "¡Te atrapé!" o "¡Te sorprendí!"), en donde el objetivo es esencialmente prevenir el SPAM (mensajes no deseados).

En el caso de eliax, es para proteger sobre programas automatizados que introducen SPAM en forma de comentarios falsos, con enlaces a otras páginas para vender productos y/o estafar a las personas.

A la fecha, rara vez habían notado ustedes SPAM en el blog ya que el sistema que tengo es bastante bueno, bloqueando unas decenas de miles de estos mensajes diariamente, pero aun así, en días recientes en promedio unos 50 en promedio se han estado colando diariamente, y hasta ahora había sido mi labor personal (y tediosa) la de detectar esos mensajes falsos y borrarlos manualmente, con el fin de molestar a los lectores lo menos posible.

Pero dado al incremento de volumen reciente, y mi tiempo limitado, recurrí a implementar el más sencillo CAPTCHA posible, que es fácil de entender (sumar dos números) pero que evadirá al 99.999% de los "spambots" conocidos en Internet.

Así que espero que entiendan el motivo de este pequeño inconveniente, del cual debemos culpar a los miles de seres sin escrúpulos cuya labor en la vida ha sido la de tratar de hacer peor la vida de los demás...

autor: josé elías

63 comentarios

General , Tecno-Seguridad

Previamente en eliax:
Sobre el mercadeo SPAM (emails no deseados) ( oct 3, 2005)
Llegó el tiempo de integrar a la humanidad bajo un mismo marco ( ago 8, 2008)
¿No les da vergüenza hacer comentarios con múltiples usuarios? ( mar 27, 2009)
Pregunta a eliax: ¿Es cierto lo de los emails samaritanos? ( abr 27, 2009)
Pregunta a eliax: ¿Qué es un Troll en Internet? ( may 22, 2009)
Opinión: Pronto nuestra reputación y credibilidad estarán ligadas a identidades Web ( nov 2, 2009)
En el mundo se envían diariamente 3,000 millones de emails SPAM maliciosos ( feb 17, 2010)
Como comentar en eliax (tenía que suceder...) ( may 12, 2010)
Eliax pregunta: ¿Por qué te gusta el blog de eliax? ( nov 12, 2010)
Pregunta a eliax: ¿Que es un ataque del tipo DDoS en Internet? ( feb 23, 2011)
Editorial eliax: Facebook Comments Plugin, inicio de una preocupante tendencia ( mar 10, 2011)
Recordatorio: Eliax es un hobby, de una sola persona, en su tiempo libre ( mar 17, 2011)
Los 18 distintos tipos de lectores de blogs, foros y redes sociales ( mar 12, 2012)
Como compartir los artículos de eliax (sin plagiarlos) ( jun 23, 2012)
Sobre la ideología de que toda información debe ser libre y gratis ( jun 25, 2012)
Eliax pregunta: ¿Cómo se puede mejorar a eliax? ( ene 25, 2013)
Resumen de las sugerencias para mejorar eliax en su próxima versión ( ene 27, 2013)
Pregunta a eliax: ¿Cómo surgió eliax? (versión extendida) ( feb 12, 2013)

Posteriormente en eliax:
Ayuden a detener el plagio de artículos de eliax en otros portales ( abr 29, 2013)
Editorial eliax: Sobre la diferencia entre compartir y plagiar ( abr 30, 2013)
Pregunta a eliax: ¿Por qué se eliminan usuarios de los grupos de eliax? ( may 10, 2013)

Comentarios

probando ... 2+3 .... jeje ... 6

#1 checkin - marzo 24, 2013 - 01:26 PM (13:26 horas) (responder)
Probando por esta via

#2 Hadoken - marzo 24, 2013 - 01:28 PM (13:28 horas) (responder)
No importa siempre y cuando sea para mejorar.

#3 cesarmar - marzo 24, 2013 - 01:37 PM (13:37 horas) (responder)
Buena medida y simple.

#5 Rockman - marzo 24, 2013 - 01:52 PM (13:52 horas) (responder)
es lo mejor así los que comentan son realmente los que quieren dar su opinión personal de algún tema especifico y no los trolls que solo están para amargarle la vida a los demás... así el hígado de todos estará mas sano..

#6 jediknightgeorge - marzo 24, 2013 - 01:54 PM (13:54 horas) (responder)
Eliax, este mecanismo se evade tan solo parseando el cálculo con una expresión regular y mandando el resultado.

No soy hacker, pero si quisiera trollearte podría escribir algo en una hora y llenarte esto de SPAM.

Saludos.

#7 klkmanito - marzo 24, 2013 - 01:55 PM (13:55 horas) (responder)

No se trata de un anti troll, mas bien anti bots, es decir prevenir que no humanos publiquen publicidad de forma automatizada.

#7.1 LLorT - marzo 24, 2013 - 02:49 PM (14:49 horas) (responder)

Probando...

#8 Cautela (enlace) - marzo 24, 2013 - 02:06 PM (14:06 horas) (responder)
probando

#9 Bill - marzo 24, 2013 - 02:16 PM (14:16 horas) (responder)
1, 2, 3, probando... 13!

#10 IM Abreu Fernández - marzo 24, 2013 - 02:21 PM (14:21 horas) (responder)
Pero una pregunta jejeje yo no se mucho de esto pero en el transcurso del tiempo e notado que la mayoria de paginas que se usan para almacenar y descargar informacion dejaron de implementar captchas por medio digital y pasaron a captchas por medio de imagenes ya que supongo que de algun modo pueden hacer que estos spams entiendan lo de 5+3 o no se solo es mi experiencia y no se nada de esto ;) solo curiosidad

#11 cristian - marzo 24, 2013 - 02:28 PM (14:28 horas) (responder)

cristian,

Eso sucede usualmente con portales ultra-populares como Wordpress, Blogspot, Yahoo, etc, debido a que los que programan spambots descodifican el patrón de sus formularios y programan ataques específicamente para esas páginas.

En el caso de eliax, por más popular que es en el mundo hispano, está "bajo el radar" de esos ataques (y por tanto recibe solo ataques genéricos), pero el dia que lleguen ya tengo un Plan B listo, solo que no quiero molestar a los lectores son soluciones complicadas si no es necesario...

#11.1 José Elías (enlace) - marzo 24, 2013 - 02:46 PM (14:46 horas) (responder)
No creo que sea muy difícil de programar un programa para que reconozca una suma de dos dígitos. Pero lo suficientemente difícil para que la mayoría no se moleste en buscar o crear un programa de esos.

Por cierto, creo que he sido yo el que ha motivado a elias a escribir esta aclaración.

#11.2 GlaciarNegro - marzo 24, 2013 - 02:47 PM (14:47 horas) (responder)

No es necesario interpretar la suma. El valor resultado de dicha suma ya se encuentra en el formulario como un campo oculto:

Prueba editar el HTML con GoogleChrome haciendo click derecho y Inspeccionar elemento en el botón 'Enviar comentario" y cambia el atributo value del campo oculto que menciono mas arriba e ingresa ese nuevo valor que has puesto en el campo que espera el valor por parte del usuario. Verás que no se condice con la suma representada y sin embargo el comentario pasa.

#11.2.1 ROman - abril 1, 2013 - 04:09 PM (16:09 horas) (responder)

Noto que el formulario evita la inclusión de codigo HTML, me refiero al campo cuyos atributos son:
id="expres"
name="expres"
type="hidden"
value="x"

#11.2.1.1 Roman - abril 1, 2013 - 04:12 PM (16:12 horas) (responder)

Como dicen, nada como una solución sencilla... ;)

Sin embargo, de ser necesario puedo cifrar esos valores y ahí obligo a que alguien ejecute la suma :)

#11.2.1.1.1 José Elías (enlace) - abril 1, 2013 - 05:37 PM (17:37 horas) (responder)

C.A.P.T.C.H.A.: Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar máquinas y humanos)

#12 LLorT - marzo 24, 2013 - 02:46 PM (14:46 horas) (responder)

quizás llegue el día en que una máquina responda igual o mejor un test con captchas, aunque de momento sigue siendo útil.

#12.1 GlaciarNegro - marzo 24, 2013 - 02:50 PM (14:50 horas) (responder)

index.cfm?post_id=10079... no tienes un sistema SEF?

#13 Eladio - marzo 24, 2013 - 02:48 PM (14:48 horas) (responder)
me corto el mensaje!

#14 Eladio - marzo 24, 2013 - 02:49 PM (14:49 horas) (responder)
Bueno, ya da igual pues estan hablando de loe que iba a postear.

Recuerdo haber leído hace muco que no querías implementar comentarios de FB por varias razones, pero si podrías implementar un sistema de gestión de usuarios con registro usando FB, twitter, o ingreso manual. Así los posts se quedan aquí y se puede mantener el anonimato al usuario elegir su alias

--del 1er mensaje---
Otra cosa que noto ahora, esta url index.cfm?post_id=10079... no tienes un sistema SEF?

#15 Eladio - marzo 24, 2013 - 03:00 PM (15:00 horas) (responder)
Niños menores de 4 años no podran comentar :p

#17 Pedro - marzo 24, 2013 - 03:04 PM (15:04 horas) (responder)
3 + 3 = 6 :D

#18 Joshua - marzo 24, 2013 - 03:06 PM (15:06 horas) (responder)
y que pasaria si no saben sumar?

#19 Joshua - marzo 24, 2013 - 03:07 PM (15:07 horas) (responder)

En ese caso posiblemente tampoco sepan escribir...

#19.1 GlaciarNegro - marzo 24, 2013 - 03:14 PM (15:14 horas) (responder)

Esto me acuerda algo que pasa por lo menos en mi pais, Republica Dominicana. Y es que miles de personas con educacion casi en 0, pues de gramatica saben poco o casi nada, mientras que de matematicas (por lo menos basica) saben en cantidad. Creo que se debe a la necesidad de siempre estar en un constante negocio para subsistir.

#19.1.1 Randy Rubirosa - marzo 24, 2013 - 03:42 PM (15:42 horas) (responder)

Ps no comentan y ya.

#19.2 Areg - marzo 24, 2013 - 03:14 PM (15:14 horas) (responder)
Calculadora :-)

#19.3 Wilson - marzo 25, 2013 - 08:48 AM (08:48 horas) (responder)

Si el captcha más sencillo puede evadir al 99% de los spambots imaginaos el más elaborado. Tamos a años luz de la supuesta inteligencia robótica o artificial (vease no basada en vida biológica)

#20 Daniel (enlace) - marzo 24, 2013 - 03:19 PM (15:19 horas) (responder)
jajaj, si acabo de ver los dos urls y son el mismo. EL segundo salio por el aproval al intentar poner una url

#21 Eladio - marzo 24, 2013 - 03:32 PM (15:32 horas) (responder)
odio los chaptas pero todo sea por librarnos del spam que va antes que los chaptas en mi lista de odio, :)

#22 jems - marzo 24, 2013 - 03:40 PM (15:40 horas) (responder)

es captcha(s)

#22.1 Pedro - marzo 24, 2013 - 04:28 PM (16:28 horas) (responder)

haber solo estoy probando, no tengo nada que decir

#23 lelouch - marzo 24, 2013 - 06:30 PM (18:30 horas) (responder)
ooooooohh!!

#24 pedro - marzo 24, 2013 - 08:28 PM (20:28 horas) (responder)
Test jaja

#25 Khatron - marzo 24, 2013 - 08:32 PM (20:32 horas) (responder)
Testing!!! :D

#26 Elvis Manuel - marzo 24, 2013 - 08:47 PM (20:47 horas) (responder)
tess

#27 sucri - marzo 24, 2013 - 09:27 PM (21:27 horas) (responder)
¿pero si alguien hace un algoritmo que resuelva la suma ???

#28 Juan Pablo - marzo 24, 2013 - 09:28 PM (21:28 horas) (responder)
Yo pense que era "Completely Automated Public Turing test to tell Computers and Humans Apart"

#29 TirsoJRP - marzo 24, 2013 - 09:35 PM (21:35 horas) (responder)
probando... :)

#30 kevin - marzo 24, 2013 - 11:32 PM (23:32 horas) (responder)
Excelente José Elías, una preguntita, para cuando los perfiles de usuario en Eliax.com?

#31 José Chaves Costa Rica - marzo 25, 2013 - 12:45 AM (00:45 horas) (responder)
14!! jajajajaja

#32 Jorge - marzo 25, 2013 - 01:17 AM (01:17 horas) (responder)
Probando

#33 alias - marzo 25, 2013 - 01:50 AM (01:50 horas) (responder)
Hay captchas que son menos pedantes para con el usuario, como los que te muestran una imagen con varios círculos, uno de ellos dejando su linea un poco abierta, a lo que te preguntan que des click en el círculo que está abierto, y woala! sin pedanterías de sumas o letras abstractas.

#34 Johan - marzo 25, 2013 - 02:49 AM (02:49 horas) (responder)

WTF!

#34.1 Franz - marzo 25, 2013 - 10:01 AM (10:01 horas) (responder)

La verdad muy interesante... Supongo quentensimplificara las cosas

#35 Martinzr - marzo 25, 2013 - 07:05 AM (07:05 horas) (responder)
test

#36 elvis - marzo 25, 2013 - 10:40 AM (10:40 horas) (responder)
Buenos dias Eliax, deberías sustituir el texto del calculo por imágenes (del capcha), ya que con un simple scrapping se puede saber la operación matematica de manera fácil (Lo eh hecho en otras paginas).

#37 Puntiel (enlace) - marzo 25, 2013 - 10:46 AM (10:46 horas) (responder)

Si es facil hacer un algoritmo de TAN SOLO UNA linea que te resuelva la operacion y parte te coloque el resultado, pero como explico eliax en el comentario http://eliax.com/index.cfm?post_id=10079#c849989
por ser un blog de bajo perfil (no se porque) no esta en mira de ataques especificos, la idea es no "molestar" a los lectores con estos controles, aparte ya tiene un plan B entre las manos

#37.1 Daniel - marzo 25, 2013 - 11:37 AM (11:37 horas) (responder)

Considero que ésto no es un captcha si no tiene la posibilidad de diferenciar humanos de robots.
Sí un sistema de control anti-SPAM que intenta demorar un poco la publicación de contenido no deseado como comentario.
Por otro lado, si son dos números de un dígito, cuantas combinaciones existen? pocas, que un spambot lo hará en segundos.
No hice la prueba pero pregunto: Tiene alguna limitación en cuanto a la cantidad de intentos?
El blog está interesante y creo que somos muchos los que nos gusta comentar algún artículo de nuestro interés.
Sugerencia, añade un captcha basado en imagenes ( será molesto, sí ) y ofrece la posibilidad de loguearse al blog como un usuario y evitar el captcha.

#38 Roman - marzo 25, 2013 - 11:19 AM (11:19 horas) (responder)

Yo croe que Eliax no quiere sacar la artillería pesada sin necesidad. Con esto que ha puesto basta para detener a todos los spambots que andan por ahí. El día que alguien haga un spambot que sepa buscar estas operaciones matemáticas y las resuelva, Eliax seguro que podrá complicarlo sólo un puntito más para dejarlos fuera del juego por meses o años.

Esto es como la seguridad en Linux. Actualmente no hay virus ni malware no porque sea 100% seguro sino porque la seguridad actual es suficiente. Si algún día hubiera problemas, tenemos un montón de niveles de seguridad para agregar que no usamos sólo porque cada uno agrega algo más de incomodidad.

#38.1 anv (enlace) - marzo 25, 2013 - 12:07 PM (12:07 horas) (responder)

Solo vengo a estrenar el captcha ;)

#39 Gustavo (enlace) - marzo 25, 2013 - 11:41 AM (11:41 horas) (responder)
Esta prueba no es spam...

#40 varilla120 - marzo 25, 2013 - 12:14 PM (12:14 horas) (responder)
Comenté ayer y hoy no veo mi comentario, WTF?!

#41 JorgeD - marzo 25, 2013 - 01:37 PM (13:37 horas) (responder)

Quizás comentaste sin poner la suma, y asumiste que el comentario pasó.

Creo que voy a tener que interceptar el formulario para no permitir incluso que se vaya a la página de error si la casilla de suma no tiene un valor adentro...

#41.1 José Elías (enlace) - marzo 25, 2013 - 01:42 PM (13:42 horas) (responder)

test al captcha 4+4 = 8

#42 omar - marzo 25, 2013 - 01:54 PM (13:54 horas) (responder)
Sera que sigo baneado, sin importar lo que escriba?. Esta es una prueba

#43 Andres - marzo 25, 2013 - 01:55 PM (13:55 horas) (responder)
Probando....
9 + 8 = 17

=D

#44 Antonio - marzo 25, 2013 - 03:23 PM (15:23 horas) (responder)
Para filtrar un poco más se podría pedir que se pidiera obtener la raíz cúbica del resultado, ja,ja,ja !!!

#45 Carlos - marzo 25, 2013 - 03:52 PM (15:52 horas) (responder)
Bien hecho..

#47 hansel - marzo 25, 2013 - 08:35 PM (20:35 horas) (responder)
Eliax,

Esto no va a parar a un bot! Alguien que quiera le pasa por encima :-/.

Un nivel más seria convertir los numeros en imagenes, pero igual, solamente se necesita darle par de vueltas a tesseract (OCR open source) y ya le pasan por encima.

#48 Omar Duarte - marzo 26, 2013 - 01:07 PM (13:07 horas) (responder)

Vi tu comentario http://eliax.com/index.cfm?post_id=10079&new_comment_id=850162&approval_state=1#c849989

Entonces, pusiste el sistema anti-SPAM por hobby? :)

#48.1 Omar Duarte - marzo 26, 2013 - 01:08 PM (13:08 horas) (responder)

No, no por hobby, por necesidad.

Desde el mismo día que implementé este simple sistema anti-spam, el nivel de spam automatizado bajó a literalmente cero. El día que alguien se tome la molestia de escribir un spambot específicamente dirigido a eliax, ya tengo un Plan B para lidiar con ese caso.

Por ahora, esto está más que bien y no molesta mucho a los lectores.

#49 José Elías (enlace) - marzo 26, 2013 - 01:18 PM (13:18 horas) (responder)

Añadir Comentario

tu nombre
tu email (opcional)
web personal (opcional)
en respuesta a...
comentario de caracteres máximo
6 + 9 =	requerido (control anti-SPAM)
¿De qué color es el cielo?:	requerido (control anti-SPAM)

"MATEMÁTICAS
Más controversial que la opinión del Vaticano, pero no tanto como el matrimonio gay."

por "Kuro" en oct 16, 2010