nic.es/red.es nos enseña como hacer el "captcha" más inútil

A todos los que estamos en Internet nos molesta que el whois no funcione con los dominios .es. Hay que ir a la página del ESNIC (de Red.es) y hacer la consulta allí, donde antes de darnos los datos nos presenta un captcha.

En teoría eso serviría para evitar abusos de robots, y una de las condiciones es que el texto no pueda ser predecido por los robots, ni siquiera con OCR, por eso se ponen texto “deformados”. En este caso el captcha no está muy logrado porque el contraste entre los caracteres y el fondo –de color muy uniforme– es bastante claro. Pero eso no es nada, voy a mirar el formulario y encuentro lo siguiente:

Es sencillamente alucinante, han puesto el texto del captcha como campo del formulario. Con eso es muy sencillo hacer un pequeño programa que lo coja y haga la consulta automáticamente.

Hice un programa en Perl muy sencillo que sólo envíe el formulario, sin ninguna “consulta” previa. Y funciona perfectamente. Pero no sólo eso, pensaba que la clave adiciona (el randomStr) serviría para algún control adicional, pero no, no sirve para nada.

Así es que una vez obtenido el texto del captcha y esa clave, se pueden hacer las consultas que se deseen, con cualquier dominio:

$ ./esnic.pl uib.es
Titular: Universidad de las Islas Baleares
Domicilio: Ctra. Valldemossa, Km. 7,5
Población: Palma de Mallorca
Fecha de Alta: 30/06/1992
Fecha Caducidad: 30/06/2007

$ ./esnic.pl upc.es
Titular: Universidad Politecnica de Catalun~a
Domicilio: Jordi Girona Salgado, 31
Población: Barcelona
Fecha de Alta: 17/07/1992
Fecha Caducidad: 17/07/2007

Además del fallo enorme de todo el sistema, seguía sin entender el objetivo de randomStr, lo probé desde otros ordenadores con diferentes IP y funciona perfectamente. Así que en realidad no sirve para nada.

Durante las pruebas he visto además que el HTML que generan es completamente erróneo –por ejemplo etiquetas del “head”, link, insertadas antes del “html”–, lo que hace que en realidad funcione de pura casualidad porque los navegadores ignoran el error. También siguen con el iso-8859-1, que no sólo no es el estándar europeo, sino que ya deberían estar usando UTF-8.

Aunque no me hubiese sorprendido ver este monumental en una pequeña empresa o desarrollo “casero”, es aberrante que esto suceda en una organización como ESNIC. ¿No tienen un mínimo de control calidad sobre lo que hacen? ¿no deberían ser aún más cuidadosos que el resto de los mortales? ¿por qué meten este tipo de controles placebos que no sirven para casi nada? ¿pretenden hacer creer que cuidan la privacidad de los datos?

En fin, ¿molestar al usuario sin saber muy bien el objetivo? ¿desconocimiento profundo de para qué son los captchas? ¿medidas placebo –como lo de usar https para todas las consultas– para parecer más “serio”? Red.es sigue luciéndose.

Fuente: http://mnm.uib.es/gallir/posts/2007/06/09/1108

Suscríbete a nuestro Boletín