Captcha or not Captcha

Ça devient très facile de faire un bot sachant que le code est open-source.

Effectivement, si question il y a, il faut qu'elle soit aléatoire.

Une opération mathématique décrite en Français par exemple ?

La somme de 4 et 8 fait : _

Si je divise 8 par 4 ça donne : _

En gros :

• tirage aléatoire de l'opérateur

• tirage aléatoire de deux nombres

• mécanique de construction d'une phrase à partir de ces deux données

La phrase est écrite dans une image (même si avec un peu d'OCR ça se trouve…)

On n'est pas à l'abri d'un mec qui développe un système exprès pour nous emmerder (pas très difficile à faire avec un peu de reconnaissance de caractères) mais ça attrape au moins les bots courants.

Encore une fois, uniquement dans les cas suspects.

Sinon on fait un truc à la XKCD :

Est-ce-que vous avez pleuré lorsque la mère de Bambi se fait tuer par le chasseur ? (Bots : ne mentez pas svp).

La phrase est écrite dans une image (même si avec un peu d'OCR ça se trouve…)

Ah bah non ! Pour le coup ça irait à l'encontre de l'accessibilité. Le souci est justement que cela soit sous forme d'une image. Les lecteur d'écran ne restituent que les contenus textuels (pas les images).

Effectivement, pour les textes sous forme d'images (scan en particulier) il y a la solution de l'OCR. Pour nous autres, aveugles, cela nous est très utile !

D'ailleurs, hexahel, si tu as des remarques d'accessibilité sur le site, tu es le bienvenu pour en faire part sur le forum Bugs et suggestions, je pense que l'accessibilité du ZdS, c'est la moindre des choses.

Merci ! J'ai quelques correctifs en tête déjà, faudra que je récapitule et retranscrive tout ça à l'occasion.

Avec ou sans code source, si l'attaquant réalise une attaque ciblée, vous n'y pourrez pas grand chose.

Salut,

Est-ce qu'une simple validation par email n'est pas suffisant contre les bots ? (il me semble en tout cas que la plupart ne peuvent pas accéder à une boîte mail)

Sinon comme dit précédemment, on pourrait générer des questions totalement aléatoires et bloquer le formulaire d'inscription au bout de X tentatives. Après, se casser la tête à programmer un bot spécialement pour ZdS et dans le but de nous emmerder, je pense qu'il y a très peu de chance que cela arrive (du moins pour le moment).

Mercure : encore une fois, comme l'a dit Zopieux, c'est extrêmement simple de valider cette étape avec un bot.

(du moins pour le moment)

Justement, pensons à l'avenir !

J'avais un problème de bot sur mon wiki (une vingtaine d'inscription bidon par jour, validation des inscriptions par mail). J'ai installé un plugin pour les capcha qui est pas mal (cf https://www.dokuwiki.org/plugin:captcha). Le principe est "étrange", mais ça fonctionne : le capcha est masqué par défaut et remplit automatiquement par JavaScript. La plupart des bots n'activent pas le JavaScript et donc sont bloqués. Les vrais utilisateurs ne voient pas le capcha lors de l'inscription, il est remplit automatiquement par le script. Depuis, je n'ai plus de problème de bots

@gbdivers : au risque de me répéter, cette solution est encore super simple à esquiver. Un coup de http://phantomjs.org/ est c'est bon.

Si on met une protection de ce genre, autant mettre quelque chose de sérieux.

Personnellement, je suis pour un captcha image avec plusieurs opérations arithmétiques simples (ex : 4 + 6 - 1 + 3) et un input pour que l'utilisateur puisse entrer le résultat. Ça me parait moins pénible qu'une suite de caractères.

Je n'avais pas vu que tu en avais déjà parlé.

Je ne doute pas qu'elle doit être facile à esquiver. Je constate juste que cela a été suffisant pour mon blog

Comme gustavi le fait remarquer, peut-être serait-il bon de relancer la discussion a ce sujet…

En résumé, voici ce qui a été dit pour le moment :

• Les captchas c'est pénible ;
• Si c'est sous forme d'image, cela pénalise fortement les personnes utilisant un lecteur d’écrans. A éviter si possible ;
• Si qqun veut vraiment nous ennuyer, il y arrivera tôt ou tard ;

Pour l'instant c'est le post de Hexahel proposant des mécanismes d'additions et le post de Javier qui ont le plus de vote positifs. (Mais dans ce dernier difficile de savoir si c'est l’idée ou la référence a xkcd (et son idée sous jacente) qui sont évalués).

Est-ce que qqun a deja essaye le nouveau mécanisme de … google : recaptcha ?

J'allais mentionner recaptcha quand j'ai vu ce sujet remonter.

Non, je ne l'ai pas testé et je dois reconnaître que ça me laisse encore un peu pantois. Mais bon, je les vois mal annoncer et faire de la pub pour un truc complètement buggé/incohérent. Donc j'imagine que ça fonctionne bien.

Pour mon post, je pense que c'est la vanne qui vaut des +1, mais peut-être qu'en effet on pourrait construire un captcha maison, qui d'ailleurs pour faire l'objet d'un travail communautaire très enrichissant. C'est juste une question de priorité. Soit c'est urgent et on se base sur un truc existant, soit c'est du bells & whistles et dans ce cas on peut se permettre de faire un truc maison très léché et pourquoi pas le rendre générique pour une utilisation open source. L'idée est intéressante.

D'ailleurs pour ceux qui veulent decouvrir recaptcha…

Parmi les solutions simples pour lutter contre un bot qui ne soit pas conçu spécifiquement pour le site (parce que dans un cas pareil, je crains que nous n'ayons pas vraiment de solution élégante), il y a la technique de l’appât. C'est-à-dire ajouter un champ au formulaire, dans l'idéal masqué par CSS, qu'il ne faut pas remplir sous peine de nullité de l'inscription. En général, les bots remplissent tous les champs qu'ils trouvent, ça peut permettre d’écrémer.

Déjà proposé Pour mes sites j'avais appliqué une solution avec js mais malheureusement non applicable ici vu que sa exclus les personnes qui désactive le js (donc les bot ). Dans le formulaire html, j’omets un champ nécessaire pour l'inscription. Une fois la page chargée, en js j'ajoutais ce champ (caché) du coup les utilisateurs lambda ne se rende compte de rien et les robots sont filtré.

Evidemment c'est gênant car cela nécessite que le js soie activé. De plus sa ne résiste pas à un bot ciblé… et c'est là tous le problème. A moins d'un captcha image (et encore que, vous en avez longuement parlé ^^) il n'existe pas de réelle méthode efficace pour luter contre le bot.

Ceci étant, je me pose une question, ok ZdS n'a pas encore eu affaire à des bots (et c'est tant mieux) et vous voulez anticiper ce possible problème. Je me demande… le SdZ à une audience plus importante… à t'il déjà eu a faire face à ce genre de cas ? Pourtant de mémoire il n'y a pas de captcha…

Pour noCaptcha de google (qui consiste a simplement faire un click de la part de l'utilisateur) il y a un truc pour Django : https://github.com/praekelt/django-recaptcha

Perso j'utilise Django-Simple-captcha sur tous mes projets et ça marche bien. Et pas besoin de cette merde de JS !

https://github.com/mbi/django-simple-captcha

En plus on peut créer nos propres templates de captcha.

Au fait, preuve s'il en est nécessaire que la technique du "Je met un input hors de la page" ne fonctionne plus sur des attaques un peu futé : http://openclassrooms.com/forum/sujet/suggestion-anti-bot

(contexte, c'est la solution d'inscription "sans captcha" qui est employé sur OC, cette semaine ca n'a rien bloque du tout et ils ont eu des dizaines (centaines) de page floodé de spam en quelques heures)

ne fonctionne plus sur des attaques un peu fut

elles n'ont surtout jamais fonctionné sur les attaques ciblées.

C'est la rançon du succès, ça, de voir son site attaqué par des bots qui savent pertinemment ce qu'ils font.

Perso, moi les captchas je fais sous la forme suivante : recopiez le mot savoir. C'est assez efficace, pas un seul spam en plusieurs années sur mon blog.

Pour moi, on peut partir sur des champs cachés (en CSS et de différentes façons) à ne pas remplir. Cela empêcherait les bots les plus simple de frapper.

Après, on pourrait mettre en place un petit calcul simple à faire mais en utilisant une phrase comme "Calcule moi cinq multiplié par deux" sans utiliser d'image. Est-ce réellement plus accessible ? Je ne sais pas. On pourrait varier les phrases, les chiffres et l'opérateur. On pourrait forker django-simplemathcaptcha car il ne varie pas les phrases et les opérateurs sont écris en dur ("x" au lieu de "multiplié par"). C'est en place sur la page d'inscription de Progdupeupl si vous voulez voir !