Discussion :

[Piolet]

Bonjour,

J'ai un petit soucis de "conception".
Je réalise une page web, tout ce qu'il y a de plus basique, avec une question et 4 réponses possibles.
J'aimerais m'assurer que le clic sur l'une des réponses est bien faite par un utilisateur et non par un script.

Du coup, je me demande s'il y a une possibilité de désactiver de manière fiable la possibilité de jouer la méthode "click()" d'un élément ?

L'ajout de Captcha n'étant pas une solution fiable (les robots arrivant désormais à lire ces derniers mieux que nous )

J'ai beau creuser dans tous les sens, je n'arrive pas à trouver de solution à mon problème, d'où ma question, qui est un peu la solution la moins "dégueulasse".

Merci d'avance pour vos retours.

[Geoffrey74]

Question bête, pourquoi ne pas demander de recopier la bonne réponse ?

Sinon tu as le doubleclick mais pas dispo sur smartphone et tablette.

[danielhagnoul]

Bonjour

On peut regarder la structure de l'événement, voir : http://api.jquery.com/category/events/event-object/

event.which also normalizes button presses (mousedown and mouseupevents), reporting 1 for left button, 2 for middle, and 3 for right. Use event.which instead of event.button.

event.originalEvent contient tous les renseignements voir les outils du développeur dans Chrome ou Firefox.

Exemple :

Code HTML :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<button id="btn01">Btn 1</button>
<button id="btn02">Btn 2</button>
<button id="btn03">Btn 3</button>
<button id="btn04">Btn 4</button>

Code JS :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$( function(){
 
    $( "[id^='btn0']" ).on( "click", function( event ){
        console.log( event.which, event.originalEvent );
    });
 
    setTimeout( function(){
        $( "#btn02" ).trigger( "click" );
    }, 2000);
 
    setTimeout( function(){
        $( "#btn01" ).trigger( "click" );
    }, 4000);
 
});

trigger() produira le résultat : undefined undefined
alors qu'un mouseclick produira : 1 [object MouseEvent]

[thelvin]

Alors c'est peut-être moi qui comprends pas, mais, à partir du moment où on veut se prémunir des gens qui auraient programmé leur bot pour passer le captcha,

Qu'est-ce qui les oblige à faire du JavaScript et tenir compte du JavaScript du site ? Le bot a qu'à envoyer les réponses qui lui chantent par requête HTTP, sans aucun clic, sans aucun JavaScript.

[danielhagnoul]

Bonsoir

J'ai uniquement répondu à la question : comment peut-on distinguer un événement "mouse click" et d'un trigger( "click" ) ?

Pour les questions de sécurité, il faut voir les experts : http://www.developpez.net/forums/f81...-web/securite/

[Piolet]

Alors c'est peut-être moi qui comprends pas, mais, à partir du moment où on veut se prémunir des gens qui auraient programmé leur bot pour passer le captcha,

Qu'est-ce qui les oblige à faire du JavaScript et tenir compte du JavaScript du site ? Le bot a qu'à envoyer les réponses qui lui chantent par requête HTTP, sans aucun clic, sans aucun JavaScript.

Parce que là, des vérifications peuvent être fait, c'est un bot qui enverrait la réponse et non plus mon serveur.
Donc je peux déceler qq chose.
Si c'est mon serveur qui m'envoie la réponse comme n'importe quel autre utilisateur, comment savoir si c'est un utilisateur ou un JS qui a cliqué ?

[thelvin]

Parce que là, des vérifications peuvent être fait, c'est un bot qui enverrait la réponse et non plus mon serveur.
Donc je peux déceler qq chose.
Si c'est mon serveur qui m'envoie la réponse comme n'importe quel autre utilisateur, comment savoir si c'est un utilisateur ou un JS qui a cliqué ?

Je comprends pas ce que tu dis, mais, typiquement, un bot se substitue à l'ensemble utilisateur ET navigateur de l'utilisateur. Normalement ton site web ne discute qu'avec le navigateur, qui réagit aux actions de l'utilisateur, et qui lui affiche ce que tu lui demandes d'afficher.
Un bot se ferait simplement passer pour un navigateur qui réagit aux actions de l'utilisateur, et communiquerait avec ton site web, exactement de la même manière et de façon indécelable.

Quelles vérifications espères-tu faire ? En quoi un bot voudrait envoyer une réponse qui serait normalement envoyée par ton serveur ? C'est l'inverse bien évidemment.

si c'est côté client, c'est aussi modifiable non ?

Ben oui, évidemment ! C'est pour ça que ça a pas de sens de vouloir "détecter si c'est vraiment un clic", puisque le clic est côté client.

[Piolet]

Bonjour

On peut regarder la structure de l'événement, voir : http://api.jquery.com/category/events/event-object/



event.originalEvent contient tous les renseignements voir les outils du développeur dans Chrome ou Firefox.

Exemple :

Code HTML :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<button id="btn01">Btn 1</button>
<button id="btn02">Btn 2</button>
<button id="btn03">Btn 3</button>
<button id="btn04">Btn 4</button>

Code JS :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$( function(){
 
    $( "[id^='btn0']" ).on( "click", function( event ){
        console.log( event.which, event.originalEvent );
    });
 
    setTimeout( function(){
        $( "#btn02" ).trigger( "click" );
    }, 2000);
 
    setTimeout( function(){
        $( "#btn01" ).trigger( "click" );
    }, 4000);
 
});

trigger() produira le résultat : undefined undefined
alors qu'un mouseclick produira : 1 [object MouseEvent]

Merci, c'est peut-être une solution à envisager, je vais regarder ce que cela donne.
mais là, comme ça, je me dis que la vérification ne pourra se faire que côté client, vu que c'est un event jquery.
si c'est côté client, c'est aussi modifiable non ?

[Piolet]

Question bête, pourquoi ne pas demander de recopier la bonne réponse ?

Sinon tu as le doubleclick mais pas dispo sur smartphone et tablette.

Parce que copier la réponse, c'est aussi faisable en JS, donc mordage de queue