Discussion :

[imikado]

sauf que pour faire un ddos, réussir ou non le passage du captcha n'y changera rien

Si justement: par exemple sur un formulaire de d'inscription, le bots peut dans ce cas "pourrir" la base de donnée, ce qui fait travailler la base de donnée, grossir les fichiers de logs...

[pmithrandir]

Peut-être qu'une piste pour améliorer la détection des bots, ça serait d'inverser le raisonnement :

Plutôt que de demander de faire quelque chose que les humains sont censé mieux faire que les machines, ils faudrait faire l'inverse.

Je m'explique :
Les ordinateurs sont sans cesse améliorés, et il est donc difficile de prévoir ce qui sera toujours impossible pour un ordinateur demain. Les capacités humaines par contre, sont relativement stables. On pourrait donc se baser sur ces choses où l'ordinateur est déjà plus fort que l'humain pour l'éliminer.

Par exemple, si il parvient à remplir le formulaire d'inscription en moins de 300 millisecondes, c'est louche !
Si le lien de confirmation envoyé par email est cliqué moins d'une seconde après avoir été envoyé, ce n'est probablement pas un humain.

Bien sûr il ne faut pas que ces tests soient explicites, et il faudrait aussi qu'ils soient variés. Il ne faut pas que le bot sache tout de suite que son inscription a échoué.

Par exemple l'inscription pourrait fonctionner pendant quelques minutes, le temps pour que le bot "croit" qu'il a bien réussi l'inscription. Et puis après PAF, compte supprimé !


Qu'en pensez-vous ?

Je trouve l'approche intéressante. Après, il y a beaucoup de temporisation dans ton système, chose facilement réglable.
Je pensais aussi demander à l'ordi de calculer des truc impossibles, mais ca risque de faire fuir l'utilisateur.

Mais la détection automatique a postériori et la suppression / désactivation du compte en automatique, j'aime beaucoup.plus de 10 messages en 3 minutes, désactivation du compte.

[Paul TOTH]

Peut-être qu'une piste pour améliorer la détection des bots, ça serait d'inverser le raisonnement :

Plutôt que de demander de faire quelque chose que les humains sont censé mieux faire que les machines, ils faudrait faire l'inverse.

Je m'explique :
Les ordinateurs sont sans cesse améliorés, et il est donc difficile de prévoir ce qui sera toujours impossible pour un ordinateur demain. Les capacités humaines par contre, sont relativement stables. On pourrait donc se baser sur ces choses où l'ordinateur est déjà plus fort que l'humain pour l'éliminer.

Par exemple, si il parvient à remplir le formulaire d'inscription en moins de 300 millisecondes, c'est louche !
Si le lien de confirmation envoyé par email est cliqué moins d'une seconde après avoir été envoyé, ce n'est probablement pas un humain.

Bien sûr il ne faut pas que ces tests soient explicites, et il faudrait aussi qu'ils soient variés. Il ne faut pas que le bot sache tout de suite que son inscription a échoué.

Par exemple l'inscription pourrait fonctionner pendant quelques minutes, le temps pour que le bot "croit" qu'il a bien réussi l'inscription. Et puis après PAF, compte supprimé !


Qu'en pensez-vous ?

à l'extrême il faudra des captcha qui n'acceptent que les mauvaises réponses ^^ :

> racine cubique de 2468585365875 ? 
> 13515 ! 
> VRAI ! accès refusé !

[imikado]

à l'extrême il faudra des captcha qui n'acceptent que les mauvaises réponses ^^ :

> racine cubique de 2468585365875 ? 
> 13515 ! 
> VRAI ! accès refusé !

bonne idée
ou Capitale de la tanzanie ?

[Jipété]

bonne idée
ou Capitale de la tanzanie ?

Un coup de wikipédia, 3 secondes et demi, Dodoma

Ou alors rajouter une image précisant qu'il faut donner une fausse réponse ("pour décourager bla bla")

[Paul TOTH]

après on peut jouer sur des subtilités du style

parmi les capitales suivantes : Paris, Berlin, Tokyo laquelle est le plus éloignée de la France ?

un robot choisira probablement Paris comme capitale de la France sans interpréter la question posée.

ou en version QCM pour multiplier les possibilités d'erreur du robot

parmi les capitales suivantes : Paris, Berlin, Tokyo lesquelles ne sont pas en France ?

[imikado]

après on peut jouer sur des subtilités du style

parmi les capitales suivantes : Paris, Berlin, Tokyo laquelle est le plus éloignée de la France ?

un robot choisira probablement Paris comme capitale de la France sans interpréter la question posée.

ou en version QCM pour multiplier les possibilités d'erreur du robot

parmi les capitales suivantes : Paris, Berlin, Tokyo lesquelles ne sont pas en France ?

Très bonne idée
C'est ça qu'il faut des questions simples plutot que des casses têtes graphiques

[pmithrandir]

Le problème de ces solutions, c'est qu'elles :
- ne fonctionnent pas a grande échelle... (les questions sont forcement redondante, donc les robots connaissent la réponse)
- prennent du temps a mettre en place.
- peuvent troubler l’utilisateur(ce qui n'est jamais une bonne idée a l'installation

Est ce que l'on pourrait imaginer d'autres système plus technique, du genre : cliquer sur les chiffres composant le nombre 159876 sur un pavé numérique ou les chiffres changent de place ? Je doute que ca ralentirait beaucoup un robot remarque...

[imikado]

Le problème de ces solutions, c'est qu'elles :
- ne fonctionnent pas a grande échelle... (les questions sont forcement redondante, donc les robots connaissent la réponse)
- prennent du temps a mettre en place.
- peuvent troubler l’utilisateur(ce qui n'est jamais une bonne idée a l'installation

Est ce que l'on pourrait imaginer d'autres système plus technique, du genre : cliquer sur les chiffres composant le nombre 159876 sur un pavé numérique ou les chiffres changent de place ? Je doute que ca ralentirait beaucoup un robot remarque...

Il me semble que c'est un peu le système utilisé par certaines banque pour taper son mot de passe et éviter les keylogger

Attention de toujours une version pour les non-voyants.

[Loceka]

C'est pratique ça quand on est français et que votre nouveau système de captcha est un sur un site russe... (ou vice versa)

[Wily le Programmeur]

Qu'en pensez-vous ? La méthode décrite par les associations vous semble-t-elle sécuritaire ?
Cette méthode me semble une bonne mesure de sécurité pour une raison simple: vous êtes un humain alors prouvez-le.
Cependant, (peut-être) faut-il l’améliorer pour palier aux problèmes évoqués.

Avez-vous déjà utilisé des CAPTCHA lors de vos développements ?
Oui, très souvent depuis que j'ai connu Zend Framework (qui l'implémente déjà).

Préférez-vous ce système de filtrage à un autre ou est-ce par habitude ?
J'aime bien le CAPTCHA, je suis sûr qu'un hacker ne voudra jamais saisir plusieurs combinaisons pour accéder à une application. Il trouvera ça fastidieux.