Puis y a le problème de la langue aussi.
Puis y a le problème de la langue aussi.
Tout ça est franchement exagéré.
Dans le cas là il faudrait voir du côté du nombre de requêtes sur une page, tout simplement..L'objectif est de déjouer les attaques automatisées qui peuvent réaliser un grand nombre de tentatives en multipliant les combinaisons.
Si il y a des requêtes "post" à répétition sur une même page et provenant d'une même ip, c'est peut être qu'il y a un problème..
Par exemple, au délà de 5 "post" (ou get), blocage 1 min.
Et si encore 5 mauvais "post", bannissement de l'ip.
"Pourquoi faire simple quand on peut faire compliqué ?"
Parce que ton systeme fonctionne contre les attaques "brut force", mais n'empeche absolument pas une attaque par robot un poil plus intelligente (modification de l'IP source par exemple, ce qui est tres simple a faire).
Le but de ce genre de mecanisme est de verifier que l'utilisateur est bien un humain, et pas un robot, et ceci independamment des actions faites par celui-la : un robot qui s'inscrit sur un forum pour le polluer, c'est tres simple a faire, et le mecanisme de captcha lors de l'inscription est un moyen relativement fiable de differentiation. Le nombre de requete ne s'applique qu'aux attaques "burst".
Oui très simple à faire, mais là dans ce cas, je trouve que c'est du côté du fai qu'il devrait y avoir vérification (ce qui est fait chez certain fai).
C'est également très simple pour eux de vérifier l'ip source du header ip de chaque paquet.
Après il y a aussi le cas des machines fantômes infectées contrôlées par Monsieur x, qui auraient toutes une ip différente, mais là c'est relativement rare.
edit: Et puis bon, se servir d'un réseau de bot pour craquer un captcha, faudrait vraiment être un enragé de la vie. : /
Le CAPTCHA n'est pas assez secure .
Le GOTCHA trop compliqué .
Mais heureusement il y a la NSA !!
Qu'en pensez-vous ?
Je trouve ça bizarre, sachant que le test original sert à faire un test de personnalité, ce serait bête de ne pouvoir se loguer car on interprète différement les taches
De plus, la dernière fois qu'une news sur le sujet est tombé, une personne malvoyante avait indiqué passer par une extension de son navigateur pour pouvoir renseigner ce captcha
Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
Mes cours/tutoriaux
Ou bien et là c'est ma parano conspirationniste qui parle c'est une nouvelle façon détournée et non avouée de nous tester avec des test de Rorschach....
Oh oui je sais je sais je sors !!! mais je l'aime bien ma théorie !!
Expert en recherche google caféinomane
J'ai pas compris en quoi ça remplacer le captcha. J'ai même pas compris en fait le fonctionnement. Qu'est ce qui valide la réponse de ce que l'ont vois ? D'autre humain ?
En plus j'ai dis n'importe quoi, il y a beaucoup plus simple.
C'est possible à implémenter soit même.
Suffit de vérifier côté serveur si l'ip source du header-ip à bien faite le 3-way handshake, et donc à bien utilisée "connect", ou "SSL_connect", ou un code perso.
Je n'ai jamais testé, car je n'ai pas de site web, donc je ne m'en interesse pas, mais je suppose qu'Apache vérifie ce genre de choses, ou permet de le faire via une option car c'est une base de sécurité.
Car si l'ip est passé par le handshake, elle est forcément valide, sinon le syn-ack en réponse du serveur n'arriverait nul part (enfin si, à la fausse ip, si elle existe, mais qui n'appartient pas au client), et le client ne pourrait pas avoir le bon numéro de séquence à incrémenter pour son ack.
Et si le paquet "push-ack" concerné n'est pas passé par le handshake, il doit y avoir moyen via iptables d'écrire une règle pour ce genre de chose (je ne suis pas expert en iptables).
Au pire, sous Linux la capture des paquets (header inclus) peut être faite via AF_PACKET, et sous Windows via la librarie pcap. Sous Linux aussi d'ailleurs, mais beaucoup plus simple avec AF_PACKET + read uniquement, même pas besoin d'utiliser recvfrom, c'est ce genre de petit détail qui font que Linux est si exceptionnel ^^ (roots raw packet, dis a packet music!)
Le problème netbot lui reste possible malheureusement. Mais je suppose que c'est vraiment rare.
il est clair qu'étant également d'un léger daltonisme, répondre aux tests de ce genre, c'est toujours difficile.
Bon, gotcha, c'est pas au point ?
Qu'à cela ne tienne, pourquoi ne pas simplement utiliser des anamorphoses telles qu'on en dessine par milliers ou en voit sur des oeuvres ?
C'est d'autant plus simple que l'anamorphose induit un processus de reconnaissance à la fois cognitif inconscient et qui est lié à la mémoire interprétative.
Un automate, aussi puissant soit-il, s'il ne possède pas une fibre émotionnelle, ne peut reconnaitre ce qu'il se cache dans une anamorphose.
Enfin, pour qu'elle soit reconnue et perceptible par tous, il faut la traiter en formes simple mais instantanément explicite!
Je fais ça depuis que j'ai un crayon dans la main, et c'est efficace au possible!
Hem ! J'ai souvent l'impression qu'on ne regarde que moi ! Hem !
Des chercheurs, hein?
Ils cherchent quoi ces gens la? A perdre leur temps, à nous faire perdre le nôtre? Les deux?
A moins qu'ils cherchent un truc a chercher, tout bêtement?
Bref...
Sinon, y'a un système de captcha que j'ai bien aimé, perso, c'était quand j'ai créé un compte sur gna.
Le principe est simple, il pose une question en mettant un indice ainsi qu'un lien vers la page contenant la réponse, et voila.
C'est simple pour l'humain, ok ça force a lire un peu... mais bon, on parle de sites web quand même, donc bon...
Je me souviens aussi du système de vérification de licence d'un très vieux jeu nommé settlers 1: il demandait au début du jeu de refaire une combinaison de runes en indiquant la page du manuel ou elle se trouvait. Au final, gna c'est le même principe, mais avec le manuel en ligne.
La principale chose qu'on reproche au captcha c'est d'être mal perçu par les visiteurs; je ne crois pas que le « gotcha » représente un réel progrès dans cette direction.
Il y a tellement d'autres techniques complètement transparentes pour le visiteur que tout ce que les développeurs qui utilisent de telles techniques montrent, c'est leur incompétence.
Je ne suis pas prêt d'implanter une imbécilité pareille sur mes propres sites !
Une bien meilleure alternative à CAPTCHA c'est Are You a Human. C'est vrai que ce n'est pas gratuite mais au moins c'est amusante .
Chaque fois que tu dis "je ne peux pas", n'oublie pas d'ajouter le mot "encore".
Je ne vois pas ce qu'apporte cette solution. Il suffit d'ajouter un générateur de phrase à l'algo qui reconnait les captchas, d'évaluer la distance entre la nouvelle image et l'ancienne et de choisir la bonne phrase.
Site perso
Recommandations pour débattre sainement
Références récurrentes :
The Cambridge Handbook of Expertise and Expert Performance
L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager