Les Captchas...

[Bourinho]

Salut à tous...

J'étais en train de chercher un script de Captcha pour eviter les flooders et donc je prenais des renseignements sur le Net. J'en ai conclu une chose : Il apparait visiblement que les logiciels de reconnaissance de caractères s'améliorent et qu'ils prendront probablement le pas sur l'oeil humain...

Une évolution de ce système... ou en tout cas un complément du Captcha traditionnel est le Captcha audio qui se développe de part et d'autres...

Alors, je me suis dit que l'évolution de ce système réside probablement dans les gif animés ou les caractères se succéderaient... qui seront encore moins accessibles mais aussi plus indigestes pour les flooders...

Le top resterait un Captcha accessible mais cette caractéristique demande plus d'imagination pour trouver une solution.

Selon vous, sur quoi reposeront les prochains script anti-flood?

[Tizel]

Si la reconnaissance de forme s'améliore, difficile pour les outils d'être adaptés à tous les captcha. La reconnaissance de lettres n'est pas évidente, et les spammeurs, trop "bourrins" pour mettre en oeuvre de telles solutions.

Quoi qu'il en soit, ta solution à base de Gifs animés n'est pas opérationelle. Un gif animé est juste un groupe d'image qui s'affichent les unes aprés les autres. Ce n'est pas plus compliqué - pour un spammeur - qu'une image simple.

Plus dur est la reconnaissance de formes. Par exemple, demander à quelqu'un ce qui apparait sur une image simple : une pomme, une voiture, un avion... Le genre d'exercice qu'un gamin de 3 ans est capable de faire, mais qu'un logiciel a du mal à intégrer.

Autre solution, les captcha accessible, comme on trouve sous dotclear. Le spammeur doit alors répondre à la question. C'est un probléme difficile à résoudre si la personne qui a mis en place le captcha a bien pris le soin de personaliser les questions (en effet, si tout le monde laisse les mêmes questions par défaut, cela est trés vite inefficace).

Pour conclure, je pense que la solution captcha est trés efficace contre les spams. Elle sera d'autant plus efficace que chacun personalisera son captcha... Impossible pour un spammeur de prendre en compte la diversité des solutions captcha (et des réponses).

Tizel

[Anonymus]

La reconnaissance de formes...

En effet, d'un coté on montre un dessin, et de l'autre une suite de réponses possibles :

dessin de voiture, de camion, de soleil, d'arbre, etc..

Et une liste déroulante, avec 'Qu'est ce que c'est ?' : une voiture, etc..

C'est pas mal, ca, comme idée, tiens

[Bourinho]

Salut,

en fait, je proposais des gif animes car cela donne une sorte de "dimension" supplementaire... qui rendrait la lecture plus difficile mais il est vrai qu'ils pourront se servir de ce qu'ils ont deja developpe concernant la reconnaissance de caratere pour rendre operationnel leur logiciel sur des gifs animes...

Donc ca complique leur tache mais cela ne serait probablement pas efficace a long terme...

Quant aux formes, ca me semble etre une idee a creuser... mais il faudra que chacun developpe ses propres formes pour rendre ce systeme encore plus efficace!

Modifié 31 Août 2006 par Bourinho

[captain_torche]

Par contre, avec un système du genre (avec un select), on laisse tout de même une chance aux éventuels bots de sélectionner la bonne réponse.

D'autre part, on n'est pas accessible (les aveugles ne pourraient pas passer).

Je verrais plutôt une solution entièrement textuelle, mais avec une réponse simple, du genre "combien font deux plus deux ?".

[Bourinho]

Y a un truc qui me chiffonne...

Le fait de demander une adresse valide ne suffit-il pas a stopper les flooders???

Comment font ils lorsque l'on procede comme suit :

1-formulaire a remplir (ou il y a un champs e-mail)

2-envoi du mail de confirmation avec un lien dedans ou il faut cliquer pour confirmer son inscription

[captain_torche]

Ca les empêche bien, mais ce n'est pas le genre de protection que tu peux mettre partout.

En fait, sur un site où tu as besoin d'être authentifié (comme un forum), tu peux utiliser la validation par e-mail, mais pour une zone où il n'est pas nécessaire de s'identifier, le captcha est indispensable (commentaires de blog, formulaire de contact ...)

[aymericj]

Un des problèmes des captchas est effectivement celui de l'accessibilité.

Ne pas oublier que "handicap", c'est large, visuel, auditif, "physique" ou fonctionnel, cognitif... on oublie souvent le cognitif.

Et certains captchas à base de questions peuvent poser problème a des visiteurs avec des problèmes de mémoire (halzeimer), de dyslexie ou tout simplement de culture, je vous promet que la question du type quelle est la capitale de l'italie pause souvent problème.

Autre problème, l'acte de poster un commentaire sur un blog (les boitaspam) est souvent impulsif, on a envie de répondre immédiatement, et devoir se tapper un captcha pour previsualiser, puis un autre pour valider, au bout d'un moment ça saoule.

Le captcha est bien tant que l'on a pas trouvé une autre solution contre le fleau du spam, car je suis persuadé que ce n'est pas LA solution.

Si ça vous interesse, un projet sur le spam a vu le jour il y'a quelques temps, signal spam (http://www.signal-spam.fr/) ça se met en place doucement et j'invite toute personne victime du spam à y participer pour faire avancer le shmilblick.

Je précise, je n'ai aucun interet commercial avec signal spam , et de toutes façons ce n'est pas un projet à but commercial.

++

Aymeric Jacquet

[Tizel]

Je suis d'accord avec Aymericj, je ne conçoit plus vraiment les captcha autrement qu'avec des questions texte. Les autres solutions ne sont vraiment pas acessibles.

Le probléme de "culture" que tu pose est bien réel. Surtout quand tu as des visiteurs "internationaux". Si tu leur demande quelle est la capitale du royaume uni, certains te diront "Londres", d'autres "London"...

Pour avoir essayé de rédiger des questions faciles pour mes captcha, je peux dire que ce n'est pas évident. Si je pose des questions trop rattachées à la culture française, peut être que les belges, les suisses ou les canadiens ne sauront pas répondre... Les questions de calcul (addition, multiplications) sont des gros classiques qui ne sont généralement pas rédibitoires. Des questions du type "Quelle est la couleur du cheval blanc d'Henri IV" sont assez facile aussi pour être acessibles à tous.

Tizel

[Théo B.]

Déjà, les calculs sont plutôt facile à passer, puisque beaucoup de bots et logiciels le font déjà, dans un but qui est tout à fait respectable (entre autre, le bot "God", Google, ...).

Les capitales, c'est la même chose.

À mon avis, les seules questions vraiment difficiles à décrypter pour les bots sont des questions dirigées typiquement vers celui qui doit s'inscrire. Ainsi, je trouve que le cheval blanc d'henri IV est une très bonne idée, car il me semble que seuls les français, ou francophones peuvent la décoder, et les bots sont rarement français ou francophones...

D'autres questions pourraient être "Quel est le nom de ce site" ou "Quel est le nom que vous venez d'indiquer dans votre profil", etc etc... le tout avec un traitement différent selon les questions.

[Anonymus]

Désolé, mais si la question 'le cheval blanc d'Henry IV' est si connue, c'ets bien parce que tout le monde tombe dans le panneau. (Bon, pas celle-ci, quoique..)

Maintenant, si peut se poser le problème de la capitale de l'UK, en revanche avec des questions 'simples', et une liste de réponses prédéfinies, on a à mon avis un bon taux de retour.

(quel est notre planète ? La terre, le soleil, pluton..)

Sinon, il faudrait un système changeant : Un jour, un système d'images, le lendemain un système de qcm, le lendemain un autre, etc.. Histoire qu'un simple 'bot' ne soit pas capable de répondre tout seul.

Il me semble indispensable de prendre l'adresse mail de la personne, et ainsi, il me semble vraiment nécessaire qu'il la valide : S'il ne valide pas la réponse, alors ca n'est pas la peine de la poster. Quelqu'un qui poste sur un blog doit être identifiable, au moins avec une adresse mail valide.

Avec cela, un certain nombre de tests, sur le texte écrit :

- L'adresse mail retournée fait-elle partie du meme domaine que le site (en question) ?

- banissement des mots problématiques ( sex,viagra, etc..)

- un certain nombre de caractères dans la description,

etc..

Au final, ca pourrait/devrait faire un système pas mal.

[Bourinho]

Salut,

La validation des post par verification de l'e-mail ne remettrait-il pas en cause l'interet des captchas??? En effet, tous les robots deviennent inoffensifs face a ce type de verification... N'est ce pas?

En fait, je ne vois pas trop l'interet de coupler ces deux protections... mais il doit y en avoir un etant donne que cela se fait beaucoup (notamment sur le Hub...)

[Anonymus]

Complémentaires :

- le captcha permet de vérifier que ca soit bien un 'humain' qui remplit le formulaire.

- la validation par mail, c'est pour vérifier que l'email est bon.

L'un ne remplace pas l'autre.

Il reste encore possible de configurer un robot pour remplir un formulaire, et pour lui faire cliquer sur un lien dans un mail.

A l'inverse, ca n'est pas parce que l'on a un mail valide qu'il ne faut pas vérifier que ca soit bien une personne physique qui l'a remplit.

Bref, ce sont 2 mesure complémentaires

[Bourinho]

Salut,

Il reste encore possible de configurer un robot pour remplir un formulaire, et pour lui faire cliquer sur un lien dans un mail.

Voila ce qui me manquait... Vraiment de plus en plus malins ces robots...

Bon, bah, je sais maintenant qu'il faut mettre les deux donc...

[Anonymus]

Bon.. Faut bien avoir à l'esprit qu'à chaque fois, on multiplie les difficultés, et qu'en définitive, on finit par éradiquer le problème. Même s'il est techniquement possible de faire pas mal de choses, ca n'est pas pour ca que c'est fait. Ca demande tout de même un certain niveau d'expertise..

[Void]

Bon.. Faut bien avoir à l'esprit qu'à chaque fois, on multiplie les difficultés, et qu'en définitive, on finit par éradiquer le problème. Même s'il est techniquement possible de faire pas mal de choses, ca n'est pas pour ca que c'est fait. Ca demande tout de même un certain niveau d'expertise..

euh tu trouve qu'on se dirige vers une solution viable pour lutter contre le spam toi

Moi tout que je vois c'est surtout qu'on pourri de plus en plus la vie de nos internautes captcha, vérif d'email; la prochaine étape c'est le controle d'urine en ligne

[Dash]

Je verrais plutôt une solution entièrement textuelle, mais avec une réponse simple, du genre "combien font deux plus deux ?".

Il y a un certain temps, j'ai publie un captcha pour dotclear integrant notamment de ce genre de question. A priori j'estime, dans mon cas, pouvoir me passer des personnes ne savant pas effectuer quelques operations mathematiques ou repondre a des questions du type "quelle est la capitale de l'Italie". Le systeme change aletoirement : operations matematiques, captcha visuel, questions ouvertes, etc.

Il faut aussi faire mention des initiatives de whitelist/blacklist centralisees, comme il y a de plus en plus de systemes de comptes centralises.

De mon experience, il faut relativiser. De quoi parlons-nous ? D'un forum ? D'un blog ? D'un livre d'or ? D'une page de contact ? D'un site international ? D'un blog regional ? inutile de perdre plusieurs jour a concevoir un captcha hyper securise pour un blog ou un forum moyen. Il n'existe pas de systeme anti-flood universel et efficace. Chaque cas est a part. Il faut garder bien en vue son public-cible et agir afin de ne surtout pas le penaliser.

Par exemple pour contrer un spam par inscription sur un forum, rien de tel qu'une validation par email, en plus eventuellement d'un bete captcha visuel.

Cela suffit en principe tres largement. Sur un blog par contre, obliger les personnes a laisser un mail de validation ne donne pas envie a tout le monde de laisser des commentaires. Les captchas ne remplacement de toute facon pas la vigilance active des administrateurs.

[Anonymus]

Tant qu'il y aura des sites qui laisseront des listes entière d'email, tu auras des robots pour les capter.

De la même manière, tant que tu auras des formulaires avec soumission anonyme, tu auras des robots pour les remplir.

Par rapport à ca, je trouve que, comme Dash, il faut savoir raison garder.

Il y a un moment où l'on oublie le principal : permettre de poster. A vouloir mettre trop de captcha, on finit par ne plus permettre aux utilisateurs de se servir des formulaires.

Or comme la plupart des formulaires hyper sécurisés n'offrent pas d'autres possibilité qu'un autre formulaire pour soumettre le problème, on tourne en rond.

Combien de sites n'offrent pas la possibilité à un quidam de contacter l'administrateur dudit site ?

Combien de forums obligent à s'inscrire pour pouvoir.... dire qu'on ne peut pas s'inscrire bien qu'on ne soit pas un robot !?

Les captcha, c'est comme les anti virus : le meilleur anti virus, c'est la prise électrique. Pas de spam ? pas de formulaire

[Dudu]

Salut

Je suis ce topic avec intérêt depuis sa création, et il est instructif. Néanmoins, je me retiens de dire le fond de ma pensée sur les captchas avec des questions texte.

Je dois dire que ce système ne me convient pas. Admettons que je traduise en français un article anglophone de référence. L'auteur, anglophone donc, aura peut-être envie une fois la traduction finie de venir poster une petite bafouille sur mon site.

Va-t-il réellement se galérer avec un système de traduction en ligne (Systran, Google) pour savoir ce que veut dire "quelle est la capitale de l'Italie" et se re-galérer pour apprendre que 'Roma' se dit 'Rome' en français ? C'est pas dit.

Va-t-il s'amuser à savoir comment traduire "two" lorsqu'il aura compris la question "combien font un plus un" ? Pas dit non plus.

(Vous savez comment on dit "deux" en tchèque ? Sans aide extérieure ? Moi pas.)

D'un autre côté, un système en chiffres tel que "1 + 1 = ?" serait certes plus universel, mais trouvera vite une réponse chez les robots malveillants: c'est 3 lignes de code avec des fonctions déjà implémentées dans la plupart des langages informatiques.

Alors faut-il prévoir dans la liste des bonnes réponses que "deux", "two", "dwa", "dois" [...] sont synonymes et sont des bonnes réponses ? Ou prévoir un système (en AJAX?) qui changerait à la volée le couple questions-réponses ? Avec cookies pour se souvenir de la langue sélectionnée ? Trop complexe je pense.

En fait, ce qui me turlupine avec tout ça, c'est qu'à l'heure où tout le monde est très à cheval sur les questions de localisation/ internationalisation (i18n/l10n), les mêmes personnes se retrouvent à trahir leurs propres convictions 2 minutes après pour s'épargner du spam.

**

Et puisqu'il n'est pas très correct de critiquer sans tenter de faire avancer le débat, je soumets à votre avis ma petite solution perso qui marche assez bien: la fausse 404. Un simple 'header' PHP, l'internaute ne se rend compte de rien, et les robots fuient les 404 comme la peste.

Dans l'absolu ça marche pas mal.

Problématiques:

• je n'arrive pas à savoir si ça ne bloque pas certains agents, en particulier les navigateurs textes et autres appareillages utilisés par une cible handicapée
  
• Omniweb, navigateur très peu en vogue, signale les erreurs HTTP (codes 4** et 5**) en affichant un point d'exclamation en lieu et place du favicon. Pas très grave, mais qui dit que des navigateurs plus à la mode (Firefox, Opera..) ne vont pas un jour faire de même ? Et cela ne déstabiliserait-il pas une cible profane ?
  
• si l'on souhaite référencer sa page de contact dans Google ou Y!: c'est foutu. Personnellement ça ne me dérange pas, car j'estime "si je souhaite contacter le webmaster du site Untel, je vais d'abord sur le site et je trouve la page contact" plutôt que t'interroger un moteur. Ça me semble logique comme raisonnement mais je sais la question ouverte, et je connais par ici certains détracteurs de cette logique (ils se reconnaîtront )
  

Ceci étant dit, finissons sur quelques civilités Je suis tout à fait d'accord avec ces deux phrases de Dash:

Chaque cas est a part. Il faut garder bien en vue son public-cible et agir afin de ne surtout pas le penaliser.

[...]

Les captchas ne remplacement de toute facon pas la vigilance active des administrateurs.

[froidure_nicolas]

Personellement, ça m'étonnerai que des bots pirates spamment en analysant les Captchas visuels ou auditifs. Beaucoups de formulaire sont encore vulnérables pour avoir à se compliquer la vie...

Et, bien souvent, pour les petits sites persos, les spammeurs sont des zigotos revanchards pas toujours experts en reconnaissance vocale ou en OCR...

A mon avis, les seuls cas de ce genre, seront des piratages réalisés par des personnes agueries et sur des sites tels que Microsoft etc... Car, à part les passions ou la décrédibilisation des concurrents, le spam sur un formulaire protégé ne sert à rien. Bien souvent, les spammeurs souhaitent envoyer des mails etc... par ce biais.

Modifié 29 Septembre 2006 par froidure_nicolas