Chi usa Asirra in produzione? Ci sono alternative simili?

Non relativo specificamente ad Asirra, ma in generale CAPTCHA, mi occuperò del punto @ Graham e ti indirizzerò ai seguenti link:

• " ReCaptcha è stato rotto / hackerato / OCR / sconfitto / rotto? " su SO
• La mia risposta a "approcci CAPTCHA pratici non basati su immagini?" su SO
• Presentazione Ho dato questo argomento a OWASP nel 2008
• Migliore idea ancora (obbligatorio XKCD)
• L'opinione di RSnake di un altro "nuovo" tipo di CAPTCHA (ma in gran parte si applica ancora ad Asirra )
• Bruce Schneier , ma principalmente i commenti

Nel caso in cui sei pigro ecco i punti salienti ...
I 3 modi generali per rompere i CAPTCHA sono:

• Implementazione interrotta (ad esempio configurazione errata, impostazioni errate, immagini statiche, esposizione della risposta, ecc.) - ma probabilmente non si applica ad Asirra, a meno che non sia dipendente dalla configurazione
• Inversione inversa-computabilità - Se riesci a creare un programma per sfocare qualcosa che è ancora leggibile , posso costruirne uno per unblurarlo. L'OCR è dannatamente buono, almeno se l'immagine è leggibile da un essere umano.
• Mettere un essere umano nel mix, o tramite:
  • Fattorie CAPTCHA: pagando una piccola somma di denaro, c'è un MERCATO per questo: ho visto pubblicizzato su pacchetti Ebay di 1000 CAPTCHA "risolti" per 4 $, con un AFFIDABILITÀ di corrispondenza% SLA
  • proxy CAPTCHA, ad es. puoi accedere a pr0n se risolvi questo CAPTCHA ... o persino a creare un gioco da esso.

Per riassumere (come ho spesso fatto su questo argomento):

CAPTCHA tries to solve the wrong problem, and it does it badly: even if it worked perfectly, the problem is not "I want to identify who is a computer and who is a human and allow only humans to use my site however they want", but rather "I want to prevent misuse and flooding on my site".
We shouldnt be trying to turing-test the users, we should be limiting what they could do.

O anche meglio:

Authentication (or identification) is a poor replacement for authorization.

Qualsiasi meccanismo CAPTCHA può essere sovvertito trovando un'economia debole e dando alle persone una piccola somma di denaro per risolvere una grande quantità di CAPTCHA.

Asirra esegue la convalida sul lato client solo per comodità - ovvero, così puoi progettare una pagina web che impedisce che il modulo venga inviato senza che il captcha venga risolto. Questo impedisce il fastidio di navigare lontano da un modulo compilato solo per essere detto che il captcha non è riuscito.

In Asirra, come descrive la pagina di installazione, la vera sicurezza deriva dal fatto che il codice che scrivi sul back-end per l'elaborazione dei moduli deve anche colpire il servizio Asirra e assicurarsi che il modulo sia stato inviato con un biglietto valido che viene consegnato ai clienti solo quando la sfida è stata risolta.

Naturalmente, come descrivono i poster sopra, questa "sicurezza" dice solo che qualcuno o qualcosa ha identificato 12 immagini come cani / gatti. Non c'è un buon modo per sapere, ad esempio, se le foto sono state effettivamente risolte da un'IA avanzata o da un ragazzo in Cina che lavora per $ 3 / ora (vedi PixProfit.com)

Il MSFT Ajax Toolkit ha un'implementazione senza captcha che utilizza una varietà di mezzi trasparenti per verificare un utente. ESEMPIO DIMOSTRAZIONE

Questo è un codice piuttosto intelligente che può essere incorporato in altri sistemi per l'ultra-bot-paranoico.

Asirra è utilizzato da Club Bing di Microsoft. link

link fornisce il servizio Asirra ma il loro servizio è molto scarso.