Captcha or not Captcha

That is the question

a marqué ce sujet comme résolu.

Pour moi, on peut partir sur des champs cachés (en CSS et de différentes façons) à ne pas remplir. Cela empêcherait les bots les plus simple de frapper.

Après, on pourrait mettre en place un petit calcul simple à faire mais en utilisant une phrase comme "Calcule moi cinq multiplié par deux" sans utiliser d'image. Est-ce réellement plus accessible ? Je ne sais pas. On pourrait varier les phrases, les chiffres et l'opérateur. On pourrait forker django-simplemathcaptcha car il ne varie pas les phrases et les opérateurs sont écris en dur ("x" au lieu de "multiplié par"). C'est en place sur la page d'inscription de Progdupeupl si vous voulez voir !

+0 -0

Bon, vu que récemment on a eu le droit à notre rancon du succès avec des bots, j'ai fait une PR ce matin avec un des systèmes existant donc j'avais parlé dans mes messages du dessus : django-nocaptcha-recaptcha . Oui je sais c'est une dépendance de plus vers google, mais libre à n'importe qui de faire une nouvelle PR pour la virer si vous avez mieux (à savoir : un minimum accessible pour les malvoyants et pas hyper pénible non plus à utiliser).

+1 -0

Ça veut dire qu'il va falloir autoriser un appel de ZdS vers google (je bloque tous les appels d'un site A vers un autre B par défaut – requestpolicy) pour pouvoir poster sur le forum ?

+0 -0

Ça veut dire qu'il va falloir autoriser un appel de ZdS vers google (je bloque tous les appels d'un site A vers un autre B par défaut – requestpolicy) pour pouvoir poster sur le forum ?

Gabbro

Je clarifie :

  1. Le captcha est présent uniquement sur la page d'inscription d'un nouveau membre ;
  2. Il est désactivé par défaut (donc absent de la page en général), et sera activé manuellement pour un temps x si jamais on voit que des spammeurs s'acharnent.
+3 -0

Qui pourra activer le captcha ? Car s'il faut avoir accès au serveur ça risque de limiter le temps de réaction aux bots. Enfin, c'est mieux que sans captcha du tout !

Si c'est possible (et pas trop overkill) de mettre un bandeau du genre "nous utilisons temporairement ReCaptcha qui est un service de Google pour lutter contre les bots" ?

Par contre, vu que c'est temporaire, il faudra le désactiver au bout d'un moment…

+0 -1

Qui pourra activer le captcha ? Car s'il faut avoir accès au serveur ça risque de limiter le temps de réaction aux bots. Enfin, c'est mieux que sans captcha du tout !

Je suis en train de voir avec le staff pour l'évolution de leur outils d'admin.

Si c'est possible (et pas trop overkill) de mettre un bandeau du genre "nous utilisons temporairement ReCaptcha qui est un service de Google pour lutter contre les bots" ?

Comme ca les créateurs de bot sauront quand ils peuvent lancer leurs attaquent ? ;)

Par contre, vu que c'est temporaire, il faudra le désactiver au bout d'un moment…

Vi.

+2 -0
Banni

Pour moi, on peut partir sur des champs cachés (en CSS et de différentes façons) à ne pas remplir. Cela empêcherait les bots les plus simple de frapper.

Après, on pourrait mettre en place un petit calcul simple à faire mais en utilisant une phrase comme "Calcule moi cinq multiplié par deux" sans utiliser d'image. Est-ce réellement plus accessible ? Je ne sais pas. On pourrait varier les phrases, les chiffres et l'opérateur. On pourrait forker django-simplemathcaptcha car il ne varie pas les phrases et les opérateurs sont écris en dur ("x" au lieu de "multiplié par"). C'est en place sur la page d'inscription de Progdupeupl si vous voulez voir !

Situphen

Je serais plus pour ce genre de solution.

+0 -0

Pour moi, on peut partir sur des champs cachés (en CSS et de différentes façons) à ne pas remplir. Cela empêcherait les bots les plus simple de frapper.

Discussion avec artragis cette apres-midi sur IRC :

<artragis> certaines sont sympa style "le pot de miel"
<artragis> mais pas ultra efficace
<Eskimon> artragis: j'avais cru comprendre que le pot de miel c'était useless ouai
<artragis> aujourd'hui, oui
<artragis> il y a deux/trois ans, ça bloquait 50-60% des spam
<artragis> aujourd'hui si on est à 0.5, 0.6% c'est énorme
<Eskimon> arf oui le honeypot a fini ses heures de gloire donc
<artragis> bah disons que les technoques pour spammer efficacement était facilement contrées par les honeypot à l'époque
<artragis> aujourd'hui la mode est à l'analyse comportementale sur les réseaux sociaux
<artragis> les spams grossiers sont filtrés par des heuristiques
<artragis> mais les autres sont un poil complexe à comprendre de cette manière
<Eskimon> (c'est bien toi qui bosse dans l'analyse de spam email ?)
<rom1504> http://simplyaccessible.com/article/googles-no-captcha/
<rom1504> ça a l'air d'être accesssible si
<artragis> Eskimon oui

citation sur les autres solutions

Je serais plus pour ce genre de solution.

Pas de souci, les PR sont les bienvenus :)

Il le peuvent déjà avec le captcha

Oui, mais il n'est pas aussi visible qu'un message en bandeau directement sur la page d'accueil (dont la valeur ajoutée/informelle est faible). D'autant plus que ca fait message d'excuse alors que je vois pas en quoi le site aurait besoin de s'excuser d'utiliser une solution pour se protéger des attaques.

+0 -0

Oui, mais il n'est pas aussi visible qu'un message en bandeau directement sur la page d'accueil (dont la valeur ajoutée/informelle est faible). D'autant plus que ca fait message d'excuse alors que je vois pas en quoi le site aurait besoin de s'excuser d'utiliser une solution pour se protéger des attaques.

Ce serait un bandeau non pas sur la page d'accueil mais sur la page d'inscription. Je parle de s'excuser de donner à Google des infos sur les utilisateurs qui visitent cette page. Après, si c'est seulement de temps en temps on n'est pas obligé non plus.

+0 -2
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte