[Sécurité] Login : anti-bots

kivan666 · 17/07/2006, 11h20

j'ai lu avec bcp d'attention le topic "Login : Securité Total" mais j'avais pensé à un autre système de login pour empecher les bots de tester les mots de pass à la suite.
En fait au lieu de bloquer le compte pendant 15 minutes ou plus après 3 echecs, ce qui peut s'averer emebetant pour l'utilisateur réel, et qui de plus permet au robot de reprendre ses test après ce laps ce temps (même si certe cela démutiplie nettement le temps nécessaire pour trouver un pass)
j'avais pensé : après 3 echec, le membre est redirigé (systématiquement) quand il essaye de se logger sur une page contenant un code dans une image qu'il doit rentrer avant de pouvoir retenter de rentrer son pass.

- cela ne bloc pas le compte
- cela bloc définitivement tous robots qui ne peut pas rentrer le code image

qu'en pensez-vous ?

berceker united · 17/07/2006, 12h04

Pourquoi ne pas le faire des le premiers coup ?

kivan666 · 17/07/2006, 12h10

pour pas être trop lourd... j'ai un journal de log (avec les erreurs) et ca arrive souvent que des membres se trompent une fois un deux avant de se rappeler leur code...
trois tentatives c'est suffistant pour un humain, mais totalement insufisant pour un bots (je pense)

berceker united · 17/07/2006, 14h09

Effectivement si l'internaute doit placer L'identifiant, mot de passe plus un cryptograme ça va finir par saouler! L'idées est bonne, je rajouterais que plus il ratera au groupe de 3 plus le cryptograme est fort.

kivan666 · 17/07/2006, 14h18

renforcer le cryptograme me semble inutile, il est déjà composé de 6 lettres ou chiffres.
ce qui fait si mes souvenirs mathématiques sont bon 37^6 possibilitées...

berceker united · 17/07/2006, 14h23

Effectivement d'ici là tu auras le temps de voir qu'il y a une attaque brutale si toute de fois tu as placé un système d'alerte afin d'agire selon t'es possibilité.

Sergejack · 18/07/2006, 12h39

Tu peux aussi rendre plus complexe la réalisation d'un formulaire valide par un bot en utilisant dans ton formulaire des champs hidden dont les valeurs seraient calculées automatiquement par JS selon des algorithme variables auto générés, non ?
/me connait pas les bots

kivan666 · 18/07/2006, 14h13

et comment tu vérifie que ces varialbes sont bonnes après soumission du formulaire ?

Sergejack · 18/07/2006, 17h16

Citation:

Envoyé par kivan666

et comment tu vérifie que ces varialbes sont bonnes après soumission du formulaire ?

Ayant générer l'algorithme, tes serveur php doit pouvoir en avoir calculer la réponse.
Si le bot ne réagit pas à 100% comme un naviguateur classique (incluant l'excécution de scripts) le formulaire qu'il envera ne contiendrait pas ces valeurs.
Mais bon, j'imagine que les auteurs de bots ont pour la plupart déjà prévu le coup.
Je pense pourtant qu'il doit exister des moyens logique éfficaces tout en restant fiables de faire la différence entre le comportement humain et celui d'un bot (temps de réactions, navigation, ...).

berceker united · 18/07/2006, 17h48

C'est claire que si entre deux requêtes y a que 2 secondes et placé un bloque de texte c'est qu'il y a embrouille.

kardock · 27/07/2006, 09h03

Il y a aussi d'autres solutions déja éprouver : utiliser un capcha :
eventuellement un hot capcha,
mais aussi mettre deux champs, et écrire sur la page pour vous connecter, écrivez la phrase suivante dans le champs (phrase constituée d'une image, et très longue), ou encore rajouter un champ caché, de type password que le bot remplira également.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="password" visibility="hidden" name="bot"/>

Après une routine php par exemple (ou JavaScript) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if(isset($_POST['bot'])) //Si le champ bot est rempli
{
echo 'Remplissez le questionnaire correctement';
die;
}

Amara · 27/07/2006, 09h28

Captcha

Ca va être plus pratique pour rechercher...

kardock · 27/07/2006, 09h37

Heu oui en effet ...

Mais le lien que j'ai trouvé sur FredCavazza.com parlait d'un capcha, alors j'ai recopier sans verifier ...
mea culpa

kivan666 · 27/07/2006, 09h44

c'est pas un peu le même principe ?

kardock · 27/07/2006, 15h58

reponse tordue et peut etre fausse

:
JavaScript c'est coté client ==> PHP c'est coté serveur
Si le robot et hyper intelligent, ca peut faire la différence ... Parce que la lecture du code php c'est impossble
Les mauvaises langues diront que je suis mauvais perdant

Par contre ca me ferait plaisir de voir des bonnes langue me dementir

17/07/2006, 11h20	#1
kivan666 Membre habitué Inscription : janvier 2006 Messages : 243 Détails du profil Informations personnelles : Âge : 28 Informations forums : Inscription : janvier 2006 Messages : 243 Points : 137 Points : 137	[Sécurité] Login : anti-bots j'ai lu avec bcp d'attention le topic "Login : Securité Total" mais j'avais pensé à un autre système de login pour empecher les bots de tester les mots de pass à la suite. En fait au lieu de bloquer le compte pendant 15 minutes ou plus après 3 echecs, ce qui peut s'averer emebetant pour l'utilisateur réel, et qui de plus permet au robot de reprendre ses test après ce laps ce temps (même si certe cela démutiplie nettement le temps nécessaire pour trouver un pass) j'avais pensé : après 3 echec, le membre est redirigé (systématiquement) quand il essaye de se logger sur une page contenant un code dans une image qu'il doit rentrer avant de pouvoir retenter de rentrer son pass. - cela ne bloc pas le compte - cela bloc définitivement tous robots qui ne peut pas rentrer le code image qu'en pensez-vous ?
	00

17/07/2006, 12h04	#2
berceker united Expert Confirmé Développeur informatique Inscription : février 2005 Messages : 2 982 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : février 2005 Messages : 2 982 Points : 3 567 Points : 3 567	Pourquoi ne pas le faire des le premiers coup ? __________________ Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...
	00

17/07/2006, 14h09	#4
berceker united Expert Confirmé Développeur informatique Inscription : février 2005 Messages : 2 982 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : février 2005 Messages : 2 982 Points : 3 567 Points : 3 567	Effectivement si l'internaute doit placer L'identifiant, mot de passe plus un cryptograme ça va finir par saouler! L'idées est bonne, je rajouterais que plus il ratera au groupe de 3 plus le cryptograme est fort. __________________ Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...
	00

17/07/2006, 14h23	#6
berceker united Expert Confirmé Développeur informatique Inscription : février 2005 Messages : 2 982 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : février 2005 Messages : 2 982 Points : 3 567 Points : 3 567	Effectivement d'ici là tu auras le temps de voir qu'il y a une attaque brutale si toute de fois tu as placé un système d'alerte afin d'agire selon t'es possibilité. __________________ Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...
	00

18/07/2006, 17h48	#10
berceker united Expert Confirmé Développeur informatique Inscription : février 2005 Messages : 2 982 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : février 2005 Messages : 2 982 Points : 3 567 Points : 3 567	C'est claire que si entre deux requêtes y a que 2 secondes et placé un bloque de texte c'est qu'il y a embrouille. __________________ Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...
	00

17/07/2006, 12h10	#3
kivan666 Membre habitué Inscription : janvier 2006 Messages : 243 Détails du profil Informations personnelles : Âge : 28 Informations forums : Inscription : janvier 2006 Messages : 243 Points : 137 Points : 137	pour pas être trop lourd... j'ai un journal de log (avec les erreurs) et ca arrive souvent que des membres se trompent une fois un deux avant de se rappeler leur code... trois tentatives c'est suffistant pour un humain, mais totalement insufisant pour un bots (je pense)
	00

17/07/2006, 14h18	#5
kivan666 Membre habitué Inscription : janvier 2006 Messages : 243 Détails du profil Informations personnelles : Âge : 28 Informations forums : Inscription : janvier 2006 Messages : 243 Points : 137 Points : 137	renforcer le cryptograme me semble inutile, il est déjà composé de 6 lettres ou chiffres. ce qui fait si mes souvenirs mathématiques sont bon 37^6 possibilitées...
	00

18/07/2006, 12h39	#7
Sergejack Membre chevronné Inscription : juillet 2006 Messages : 1 194 Détails du profil Informations forums : Inscription : juillet 2006 Messages : 1 194 Points : 751 Points : 751	Tu peux aussi rendre plus complexe la réalisation d'un formulaire valide par un bot en utilisant dans ton formulaire des champs hidden dont les valeurs seraient calculées automatiquement par JS selon des algorithme variables auto générés, non ? /me connait pas les bots
	00

18/07/2006, 14h13	#8
kivan666 Membre habitué Inscription : janvier 2006 Messages : 243 Détails du profil Informations personnelles : Âge : 28 Informations forums : Inscription : janvier 2006 Messages : 243 Points : 137 Points : 137	et comment tu vérifie que ces varialbes sont bonnes après soumission du formulaire ?
	00

27/07/2006, 09h28	#12
Amara Expert Confirmé Inscription : juillet 2004 Messages : 2 684 Détails du profil Informations personnelles : Localisation : France, Sarthe (Pays de la Loire) Informations forums : Inscription : juillet 2004 Messages : 2 684 Points : 2 910 Points : 2 910	Captcha Ca va être plus pratique pour rechercher... __________________ Pas de questions techniques par MP, le forum est là pour ça et est plus efficace. Orthographe : une connexion (avec un x), un langage (sans u), une requête (un seul t), 'une quote' (avec qu), une syntaxe (sans h)
	00

27/07/2006, 09h37	#13
kardock En attente de confirmation mail Étudiant Inscription : juillet 2006 Messages : 30 Détails du profil Informations personnelles : Âge : 23 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juillet 2006 Messages : 30 Points : 36 Points : 36	Heu oui en effet ... Mais le lien que j'ai trouvé sur FredCavazza.com parlait d'un capcha, alors j'ai recopier sans verifier ... mea culpa
	00

27/07/2006, 09h44	#14
kivan666 Membre habitué Inscription : janvier 2006 Messages : 243 Détails du profil Informations personnelles : Âge : 28 Informations forums : Inscription : janvier 2006 Messages : 243 Points : 137 Points : 137	c'est pas un peu le même principe ?
	00

27/07/2006, 15h58	#15
kardock En attente de confirmation mail Étudiant Inscription : juillet 2006 Messages : 30 Détails du profil Informations personnelles : Âge : 23 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juillet 2006 Messages : 30 Points : 36 Points : 36	reponse tordue et peut etre fausse : JavaScript c'est coté client ==> PHP c'est coté serveur Si le robot et hyper intelligent, ca peut faire la différence ... Parce que la lecture du code php c'est impossble Les mauvaises langues diront que je suis mauvais perdant Par contre ca me ferait plaisir de voir des bonnes langue me dementir
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email