Journal GcaptchaZ : générateur de CAPTCHA en ligne de commande

Posté par (page perso) . Licence CC by-sa
Tags : aucun
10
20
nov.
2012

Bonjour tout le monde,

GcaptchaZ est un petit soft sans prétentions. Il s'agit d'un générateur de CAPTCHA en ligne de commande. En fait, c'est la transcription en C du générateur PHP d'André Lozano avec quelques modifications. Personnellement je les trouve beaucoup plus sympa que les reCAPTCHA de Google.

Au début je voulais l'intégrer à mon générateur de blog statique, l'idée étant de générer un nombre fixe de CAPTCHA pour les commentaires en gardant la correspondance fichier <--> résultat. Pour cela j'utilise la méthode suivante : le nom du fichier devait être le résultat du CAPTCHA chiffré en AES 128 avec le MD5 d'une passphrase (ce qui évite aussi de lister les CAPTHA si on les nomme avec un id incrémental). La seconde étape consiste à les répartir aléatoirement dans les commentaires et de vérifier qu'une adresse IP ne résout pas plus de trois fois le même CAPTCHA (en modifiant l'id dans le formulaire des commentaires).

Mais lors de mes recherches (infructueuses) sur un générateur en ligne de commande, j'ai trouvé une astuce plus ingénieuse : Le but des CAPTCHA est de n'être déchiffré que par un humain, ce qui a le désavantage d'énerver les utilisateurs quand ils sont incompréhensibles. Donc un CAPTCHA n'arrêtera pas un humain qui veut spammer un forum/blog… Par contre, les robots spammeurs remplissent automatiquement le formulaire de commentaire. L'astuce consiste donc à mettre un champ email invisible et de vérifier côté serveur s'il est rempli ou non.

Je le mets quand même à disposition dans un but didactique. Le code est assez petit, ce qui permet de rentrer dans le monde du CAPTCHA. J'ai gardé la licence originale (Copyleft, Licence Art Libre). Pour le compiler il faut installer le paquet libgd2-xpm-dev.

Logo GcaptchaZ

  • # Captcha

    Posté par (page perso) . Évalué à 3.

    Depuis que j'ai lu (une partie) de cette page, j'ai un avis mitigé sur les captchas.

    Vous en pensez quoi, de vôtre côté ?

    • [^] # Re: Captcha

      Posté par . Évalué à 1.

      Bah, les captchas n'ont qu'une efficacité statistique : il faut juste parier que le générateur de captcha n'est pas très courant et que la motivation du dresseur de bot n'est pas assez forte pour défoncer le captcha. À mes yeux, ça ressemble comme deux gouttes d'eau à la sécurité par le secret, dont on se gausse habituellement.

      La seule exception étant le ReCaptcha de Google, qui est, il faut bien l'avouer, extrêmement ingénieux : non seulement il est par définition très difficile à casser, mais en plus il est utile.

      Dans l'ensemble, je partage complètement l'avis du texte donné en lien. Même s'ils étaient efficaces, les captchas sont une plaie pour les utilisateurs. À mon avis, ce n'est jamais une solution de demander aux utilisateurs une action inutile pour vérifier quelque chose, les utilisateurs sont des êtres humains et ils ont toujours mieux à faire pour occupper 10 secondes de leur temps que de plisser les yeux pour retaper quelques caractères sans aucun sens.

      • [^] # Re: Captcha

        Posté par (page perso) . Évalué à 10.

        Les captchas sont aussi une horreur pour les malvoyants et les daltoniens.

        http://devnewton.bci.im

        • [^] # Re: Captcha

          Posté par (page perso) . Évalué à -2. Dernière modification le 20/11/12 à 10:30.

          Encore un bon point pour reCaptcha qui intègre une synthèse vocale du captcha. Certes en public c'est pas très discret.

          • [^] # Commentaire supprimé

            Posté par . Évalué à 10.

            Ce commentaire a été supprimé par l'équipe de modération.

            • [^] # Re: Captcha

              Posté par . Évalué à 4.

              Prêtons-nous au jeu.

              Alors à droite, je reconnais le développement en série entière de exp(ix). À gauche par contre, je ne comprends pas. Le numérateur est indépendant de la somme, quand au numérateur, il est divergent. De plus il y a confusion des indices entre la somme et le produit.

              Je propose donc la réponse suivante : i∞

        • [^] # Re: Captcha

          Posté par . Évalué à 5.

          En plus de faire essentiellement chier les utilisateurs, cf les travaux de Sam (qui commencent à dater, certes)

          • [^] # Re: Captcha

            Posté par . Évalué à 9.

            Et de me prouver de façon très régulière que je ne suis pas un être humain mais un bot.

            Par ailleurs, je me souviens avoir vu passer des messages très énervés d'utilisateur cumulant un déficit auditif à un déficit visuel…

      • [^] # Re: Captcha

        Posté par (page perso) . Évalué à 10.

        Non seulement reCaptcha est facile à casser et l'a déjà été depuis un bail, mais en plus il fait chier les utilisateurs humains.

        Maintenant de toutes façons la nouvelle mode ce n'est même plus de pondre des robots qui résolvent les captchas, c'est de payer des petits chinois à poster sur les sites. Vécu sur mon blog : du coup ce ne sont pas des robots et ils savent résoudre tous les captchas, même les captchas logiques genre "trois fois neuf en toutes lettres" et la reconnaissance d'image. Pire ils comprennent même le français car ces petits malins utilisent Google Translate et autres trucs de traduction. Enfin même les questions de culture ça marche pas ils finissent par trouver la réponse quelque part au bout de quelques jours. Finalement j'ai juste bloqué toutes les IPs de la Chine. Mais ils ont utilisé des proxys. Du coup j'ai bloqué les navigateurs qui ont chinois comme langue principale et jusque là ça marche, mais j'avoue être à court de solutions. Si quelqu'un a une idée contre ce fléau… Parce que les pubs pour les chapeaux de panama et le viagra… Bof.

        « Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)

        • [^] # Re: Captcha

          Posté par (page perso) . Évalué à 3.

          Parce que les pubs pour les chapeaux de panama et le viagra… Bof.

          L'anti-spam du moteur de blog ne les bloquent pas?

        • [^] # Re: Captcha

          Posté par . Évalué à 10.

          Te fatigue pas: rajoute "Tiananmen", "free Tibet" et "indenpendance for Taiwan" dans la description de ton site et tu n'auras plus trop à t'inquiéter des IPs venant de Chine…

          • [^] # Re: Captcha

            Posté par . Évalué à 10.

            Et merde, tu viens de black-lister linuxfr en chine…

            • [^] # Re: Captcha

              Posté par . Évalué à 7.

              Bah c'est rien, on n'a qu'à blacklister linuxcn.org

              Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

  • # Puisque la nouvelle tradition, c'est les références xkcd

    Posté par (page perso) . Évalué à 7.

  • # reCAPTCHA

    Posté par (page perso) . Évalué à 3.

    Oui, sauf que les captcha de Google (enfin issu d'un rachat) servent à quelque chose d'autre que de reconnaitre un humain… de servir d'OCR humain !

    Le texte n'est pas généré, mais scanné, et un algorithme statistique permet de dire si le texte rentré est correct (un mot inconnu ou partiellement inconnu et un mot 100% connu dans un ordre aléatoire, pour faire simple).

    Donc, pas de comparaison possible…

    • [^] # Re: reCAPTCHA

      Posté par . Évalué à 3.

      Ouais enfin du coup le mot inconnu je le tape pas souvent. Du coup je suis pas très utile mais ça me soule les Captcha, et le mot inconnu est généralement très peu lisible (parce que ce sont ceux qui échappent à l'OCR de Google qui doit être de mieux en mieux). Si une majorité fait comme moi ça ne va plus servir à rien (dommage mais bon, y'en a de partout maintenant des Captcha).

      • [^] # Re: reCAPTCHA

        Posté par . Évalué à 3.

        Si une majorité fait comme moi ça ne va plus servir à rien

        et pourtant… reNigger semble avoir échoué.

      • [^] # Re: reCAPTCHA

        Posté par . Évalué à 4. Dernière modification le 20/11/12 à 12:23.

        C'est l'inverse : le mot inconnu de recaptcha est le plus lisible, il est sorti directement de leur scan, alors que le mot connu est le moins lisible car ils le déforment eux même. Moi aussi je mets n'importe quoi pour le mot inconnu, parce que j'aime pas trop leur pratique, même si statistiquement plus de gens décodent gratuitement leur texte, et aussi parce que c'est moins fatigant à taper.

  • # Horreur

    Posté par (page perso) . Évalué à 2.

    Les captcha sont surtout une belle ignominie pour toutes les personnes qui souhaitent déposer un commentaire. Je pense que les services comme Askimet et Mollom sont 100 fois plus conviviaux.

    La réalité, c'est ce qui continue d'exister quand on cesse d'y croire - Philip K. Dick

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.