Discussion :

[yohannc]

J'ai déjà rencontré ce principe sur différents sites (une question posée, avec une réponse simple) et je trouve ce procédé bien mieux que les CAPTCHA. Après il faut voir si c'est sécurisé en effet.

Je pense que c'est sécurisé, à moins que le parseur d'image arrive à comprendre les formes.
Une association question + clic sur une zone spécifique de l'image ça me paraît top.
On pourrait imaginer également une question du genre : "cliquez sur l'objet qui vous paraisse le plus lourd", et une seule image est affichée avec plusieurs objets différents.
Et la question pourrait varier, "... sur l'objet qui sert à la cuisine" "... sur l'objet qui coûte le plus cher" etc.
Mais bon, il y a toujours moyen de contourner ça facilement, il suffit d'apprendre au bot où cliquer en fonction de telle ou telle question.

Sont-ils capables d'interpréter une série de PNG transparents individuellement insignifiants, mais qui, superposés correctement par css, affichent à l'oeil humain un code tout-à-fait clair. Car, que je sache, ces systèmes n'utilisent pas encore de "screenshots", si ?

Un bot peut "voir" ce que tu peux voir, ça ça ne changera pas. Le seul truc qu'il faut pour un bot c'est qu'il interprète de la même manière que toi.

[imikado]

Un bot peut "voir" ce que tu peux voir, ça ça ne changera pas. Le seul truc qu'il faut pour un bot c'est qu'il interprète de la même manière que toi.

Je suis pas sur qu'une superposition css de plusieurs images png soit correctement lu/interpétée par un bot

idem: on peut imaginer deux images: l'une affichée (via css/js), l'autre non, ainsi le robot recuperera les deux images et l'utilisateur n'en verra qu'une

[Jipété]

Salut,

Je me pose une question quant au principe de déchiffrage des caractères alphanumériques qui semblent tellement efficaces que cela amène à l'absurde situation actuelle où c'est l'internaute de chair et d'os qui rencontre plus de difficultés pour déchiffrer.

On sait les systèmes automatisés capables de reconnaître des polices de caractères, mêmes déformées dans une image. (...)

Je n'en reviens pas de la quantité d'intelligence de haute qualité mise en œuvre juste pour emmerder le monde.
Est-ce que le fait de remplir des forums ou blogs de trucs dont tout le monde se fout rapporte quelque chose à quelqu'un ?
C'est quoi leur business-plan ?
Y a des gens qui se disent « Tiens, on va écrire un bot pour flooder des forums, on va se faire un max de thunes » ?

(...) Sont-ils capables d'interpréter une série de PNG transparents individuellement insignifiants, mais qui, superposés correctement par css, affichent à l'oeil humain un code tout-à-fait clair. Car, que je sache, ces systèmes n'utilisent pas encore de "screenshots", si ? (...)

Pas mal, l'idée
Mais voilà encore de l'intelligence utilisée à contrer une autre intelligence... On serait pas mieux à la plage ou au cinoche ?
Screenshots, t'aurais pas dû l'écrire, ça va donner l'idée à quelqu'un de mettre de l'intelligence en route pour y arriver...

(...) Par ailleurs, des systèmes simplistes, même s'ils ne sont 100% efficaces réduisent déjà très fortement le spam. La question est donc, faut-il vraiment appliquer la tolérance zéro quitte à ennuyer les internautes ?

le spam ?
Pour moi, dans sa définition de base, le spam s'applique au pourrissement des boîtes aux lettres, ce qui n'est pas ce dont on parle ici, àmha.
D'après cet article, il s'agirait de « spamposting », et j'aime bien être précis , sinon, dans ces domaines pointus, on ne comprend plus rien (surtout avec l'orthographe de certains posts [rien à redire à la tienne, félicitations ])

[hasgaard]

Pour moi, dans sa définition de base, le spam s'applique au pourrissement des boîtes aux lettres, ce qui n'est pas ce dont on parle ici, àmha.
D'après cet article, il s'agirait de « spamposting », et j'aime bien être précis , sinon, dans ces domaines pointus, on ne comprend plus rien

C'est tout à ton honneur d'avoir le verbe juste Toutes mes excuses.

Toutefois, en étant de mauvaise foi, on pourrait dire qu'une majorité de "captcha" sont placés en fin de formulaire de contact dont le résultat est soumis à une adresse email. Là, les clients "gestionnaires de site" se sont plaints des emails reçus. Réaction du développeur : utiliser une solution largement documentée, libre de droit et mise en oeuvre quasi immédiatement. Problème, cela s'apparente à l'utilisation d'un lance-roquettes pour tuer un moustique.

L'autre emploi est le contrôle par captcha pour l'obtention d'un lien de téléchargement, pour éviter qu'un bot télécharge des millions de documents. Et là, la nécessité d'un captcha me semble justifié, d'où l'intérêt de trouver une méthode qui trompe les bots, mais pas les internautes.

[Jipété]

C'est tout à ton honneur d'avoir le verbe juste Toutes mes excuses.

Toutefois, en étant de mauvaise foi, on pourrait dire qu'une majorité de "captcha" sont placés en fin de formulaire de contact dont le résultat est soumis à une adresse email. Là, les clients "gestionnaires de site" se sont plaints des emails reçus. Réaction du développeur : utiliser une solution largement documentée, libre de droit et mise en oeuvre quasi immédiatement. Problème, cela s'apparente à l'utilisation d'un lance-roquettes pour tuer un moustique.

L'autre emploi est le contrôle par captcha pour l'obtention d'un lien de téléchargement, pour éviter qu'un bot télécharge des millions de documents. Et là, la nécessité d'un captcha me semble justifié, d'où l'intérêt de trouver une méthode qui trompe les bots, mais pas les internautes.

Merci pour ces précisions ; c'est vrai que j'ai parfois galéré à télécharger un fichier

l'utilisation d'un lance-roquettes pour tuer un moustique.
Pas bien grave, c'est virtuel tout ça

... un bot télécharge des millions de documents.
Mais pour quoi en foutre ?
Je ne comprends pas le plan derrière...
Et si des millions de bots téléchargeaient (et qu'on les laisse faire) des millions de documents, ils en feraient quoi ?
Eux aussi il leur faudrait des data-centers énormes, y a un truc qui m'échappe sur le fond.

[imikado]

... un bot télécharge des millions de documents.
Mais pour quoi en foutre ?
Je ne comprends pas le plan derrière...
Et si des millions de bots téléchargeaient (et qu'on les laisse faire) des millions de documents, ils en feraient quoi ?
Eux aussi il leur faudrait des data-centers énormes, y a un truc qui m'échappe sur le fond.

Il faut bien comprendre qu'il y a plusieurs type de bots:

• Ceux qui font du spam (publicité)
• ceux qui veulent faire tomber le site (ddos)

[yohannc]

Je suis pas sur qu'une superposition css de plusieurs images png soit correctement lu/interpétée par un bot

idem: on peut imaginer deux images: l'une affichée (via css/js), l'autre non, ainsi le robot recuperera les deux images et l'utilisateur n'en verra qu'une

Je ne sais pas comment sont développés les bots, mais ça pourrait être sous forme de plugin de navigateur par exemple.
Et les plugins peuvent faire des screenshots, donc ce que l'utilisateur voit, le bot le voit également .

[BenoitM]

Je pense que c'est sécurisé, à moins que le parseur d'image arrive à comprendre les formes.
Une association question + clic sur une zone spécifique de l'image ça me paraît top.
On pourrait imaginer également une question du genre : "cliquez sur l'objet qui vous paraisse le plus lourd", et une seule image est affichée avec plusieurs objets différents.

C'est surtout qu'à force de mettre des protections c'est l'utilisateur que tu vas empêcher ou tellement l'emmerder qu'ils ne s'inscrira plus ...

[imikado]

Je ne sais pas comment sont développés les bots, mais ça pourrait être sous forme de plugin de navigateur par exemple.
Et les plugins peuvent faire des screenshots, donc ce que l'utilisateur voit, le bot le voit également .

Oui si ils s'appuient sur un navigateur, sinon ca peut etre des robots scripts qui font un wget pour recuperer le source de la page, parse l'objet dom et renvoie une requete POST avec les valeurs du formulaires remplies

[n5Rzn1D9dC]

Ca protège c'est sur c'est efficace, mais aussi très efficace pour le scan de documents.
Outre le Re-captcha qui sert spécialement à ça, il y en a beaucoup pour qui ce n'est pas signalé, et qui abusent mais carrément !

Je veux dire, je ne suis pas débile ni aveugle.. J'ai 12/10 de vision, et rater 5 fois de suite un captcha alors que je suis absolument certain de l'avoir bien tapé les 5 fois de suite, faut pas se foutre de la tête des gens quoi.. Et je parle de sites où il n'y a pas de mention "re-captcha". Heureusement c'est relativement rare, mais quand même, 5 fois de suite faut pas abuser..

[Dominik94]

Un bon captcha à en principe une version visuelle et une version audio de telle sorte qu'un mal voyant pourrait avoir une dictée du captcha (sous réserve d'accessibilité du bouton , etc ...).

sauf que, pour éviter une reconnaissance automatique du texte, la version audio est assortie d'un énorme bruit de fond, rendant la reconnaissance humaine aussi dure à effectuer que pour la version texte très déformé
pour moi, c'est clairement une fonctionnalité à remplacer
A lire http://caca.zoy.org/wiki/PWNtcha et, même si ça date de 5 ans, le pire des captcha http://www.johnmwillis.com/other/top-10-worst-captchas/

ceux qui veulent faire tomber le site (ddos)

sauf que pour faire un ddos, réussir ou non le passage du captcha n'y changera rien

[haddadou]

bonsoir
je préfère qu'ils disparaissent,et le plus vite sera le mieux

[Mishulyna]

Les Captcha sont une très mauvaise solution anti-machine. Plus on avance sur les progrès faits sur les logiciels de reconnaissance de caractères, plus les captcha doivent être difficiles à déchiffrer. Au final, selon certaines études les meilleurs logiciels d'analyse se trompent moins souvent sur le déchiffrage d'un captcha qu'un humain. C'est donc complètement inefficace et contre-productif, en plus de rebuter la plupart des utilisateurs.

Je vois deux alternatives :
1) utiliser des tests de logique visuelle ou de culture générale.

Je suis à 100% pour des questions générées automatiquement du genre "7 + inputTextValue = 15". Sinon, les solutions http://areyouahuman.com/ existent depuis un certain temps.

[imikado]

En effet, il faut oublier ces textes illisibles et se concentrer sur des solutions comme ça

Il me semblait avoir vu une solution qui rapportait de l'argent au site: une petite publicité à visionner, et à la fin une question sur la publicité en question

[esperanto]

J'avais mis ça en place y'a 5-6 ans au moins et ça marchait vraiment très bien, plus aucun spam. Mais comme le dit l'article il suffit que la technique se généralise pour que les robots s'y adaptent. Je ne sais pas si elle est encore efficace aujourd'hui.

Le meilleur des anti-spam, c'est... celui que vous êtes le seul à utiliser.
Pour prendre un exemple caricatural, le captcha proposé par PhpBB est totalement inefficace, parce que justement les spammeurs se sont fait un malin plaisir de s'attaquer à celui-là en priorité.
Confronté au problème il y a quelques années, j'avais opté successivement pour les techniques suivantes :
- ajouter un champ "êtes-vous un spammeur", coché oui par défaut (si si je vous jure ça a marché un temps!)
- création d'un forum spécial pour les spammeurs, affiché uniquement pour les personnes connectées : comme les spammeurs balancent toujours leur fiel sur le premier forum qu'ils trouvent, c'est celui-là qui était envahi et les autres étaient tranquilles. Il me suffisait ensuite de désinscrire les personnes intéressantes du groupe "spam" pour qu'elles ne le voient pas plus que les personnes non-connectées.
Dans les deux cas ça a bien marché deux ou trois ans, ensuite ils ont compris et j'ai dû trouver autre chose. Si vous avez des idées...

[imikado]

Le meilleur des anti-spam, c'est... celui que vous êtes le seul à utiliser.
Pour prendre un exemple caricatural, le captcha proposé par PhpBB est totalement inefficace, parce que justement les spammeurs se sont fait un malin plaisir de s'attaquer à celui-là en priorité.
Confronté au problème il y a quelques années, j'avais opté successivement pour les techniques suivantes :
- ajouter un champ "êtes-vous un spammeur", coché oui par défaut (si si je vous jure ça a marché un temps!)
- création d'un forum spécial pour les spammeurs, affiché uniquement pour les personnes connectées : comme les spammeurs balancent toujours leur fiel sur le premier forum qu'ils trouvent, c'est celui-là qui était envahi et les autres étaient tranquilles. Il me suffisait ensuite de désinscrire les personnes intéressantes du groupe "spam" pour qu'elles ne le voient pas plus que les personnes non-connectées.
Dans les deux cas ça a bien marché deux ou trois ans, ensuite ils ont compris et j'ai dû trouver autre chose. Si vous avez des idées...

J'aime beaucoup, c'est tout bête, mais effectivement le fait de laissé un case coché (qui pourrait tourner) : vous êtes un robot/une machine... ?
Tout bête, mais si le nom de la variable et du libellé change régulièrement, ça peut être très efficace
Idem d'avoir deux cases: une négative et une positive
vous etes un robot (coché), et vous êtes une personne (non coché) et vérifier la cohérence des deux

[Jipété]

Bonjour,

(...) Dans les deux cas ça a bien marché deux ou trois ans, ensuite ils ont compris et j'ai dû trouver autre chose. Si vous avez des idées...

Techniquement parlant, comment est-ce possible, ce « ensuite ils ont compris » ?

Ces foutus robots doivent bien se vautrer également sur d'autres sites ?
Ils ont compris qu'ils ne pouvaient pas accéder à ton site, ils en ont déduit que le site était bien protégé, ils ont fait remonter à un humain pour qu'il analyse ?

Moi j'aimerais juste comprendre, merci.

[Pelote2012]

Je peux comprendre la difficultés pour certains utilisateurs, mais c'est quand même une sécurité très appréciable.
J'ai location de voir régulièrement la différence du nombre d'attaque entre un site avec Captcha et sans, il n'y a pas photos ...

Maintenant, peut-être faut-il réfléchir à des captcha adpaté, mais il me semble déjà en voir, avec des versions phoniques pour les aveugles ...
Perso, ça me dérrangerait pas de faire différent type selon les cas (il ne doit pas y en avoir des tonnes) et l'uti choisi

Les chiffres à remettre en place, des photos à reconnaitre ,c'est sympa, mais pour un aveugle...
J'ai même vu des les caractères avec couleur de fond et couleur de polices et les questions de recopiers chiffres/voyelles/Consonnes / couleurs fond/couleur de police ... mais toujours même problème
Les trucs ilisibles ... on n'oublie
J'aime bien les opérations aléatoires : c'est pas compliqué, c'est lisible et ça coupe une majorité des robots ... mais un captcha n'est pas une sécu absolue, il ne faut pas en profiter pour faire un code de cochon.

La meilleure parade restera les vérifs par le code du contenu

[imikado]

Bonjour,


Techniquement parlant, comment est-ce possible, ce « ensuite ils ont compris » ?

Ces foutus robots doivent bien se vautrer également sur d'autres sites ?
Ils ont compris qu'ils ne pouvaient pas accéder à ton site, ils en ont déduit que le site était bien protégé, ils ont fait remonter à un humain pour qu'il analyse ?

Moi j'aimerais juste comprendre, merci.

Il y a toujours un humain derrière un robots, après peut-etre ont-ils des rapports du nombre de succès/echec sur les sites.
Ils analysent surement quelques echec pour améliorer leur robots.

[MRick]

Peut-être qu'une piste pour améliorer la détection des bots, ça serait d'inverser le raisonnement :

Plutôt que de demander de faire quelque chose que les humains sont censé mieux faire que les machines, ils faudrait faire l'inverse.

Je m'explique :
Les ordinateurs sont sans cesse améliorés, et il est donc difficile de prévoir ce qui sera toujours impossible pour un ordinateur demain. Les capacités humaines par contre, sont relativement stables. On pourrait donc se baser sur ces choses où l'ordinateur est déjà plus fort que l'humain pour l'éliminer.

Par exemple, si il parvient à remplir le formulaire d'inscription en moins de 300 millisecondes, c'est louche !
Si le lien de confirmation envoyé par email est cliqué moins d'une seconde après avoir été envoyé, ce n'est probablement pas un humain.

Bien sûr il ne faut pas que ces tests soient explicites, et il faudrait aussi qu'ils soient variés. Il ne faut pas que le bot sache tout de suite que son inscription a échoué.

Par exemple l'inscription pourrait fonctionner pendant quelques minutes, le temps pour que le bot "croit" qu'il a bien réussi l'inscription. Et puis après PAF, compte supprimé !


Qu'en pensez-vous ?