Journal Gallery 2 sur etch : captcha cracké, que faire ?

Posté par (page perso) .
Tags : aucun
3
4
sept.
2008
Bonjour les moulinettes

j'héberge, depuis déjà quelques années, ma galerie de photo sur mon serveur etch : http://kadreg.org/gallery . Galerie très courue pour les photos de bières ou de chatons trop mignons. D'après mon apt, ce serait un gallery version 2.1.2, donc un poil ancien, mais il répond a mes besoin, donc je suis content.

Ce que j'appréciais particulièrement, c'était la possibilité donnée aux anonymes de poster des commentaires dans la galerie sans devoir passer par un lourd enregistrement, l'anti bot étant assuré par un captcha (mais un truc simple, des chiffres sur fond bruité).

Et voila que l'autre jour, je découvre que j'ai des centaines de commentaires d'un seul coup. Certes au début, je me dit que j'ai pleins d'amis, mais en fait, il s'agit de centaines de posts ventant les mérites de médicaments érectiles ou de sites très très sale, que même houplaboum aurait honte. Bon, cette fois ci, c'est sur : le captcha est cassé :( Je coupe les commentaires anonymes, et passe l'aspirateur à merde dans la base des commentaires.

Bon, les fesses sont propres, mais mon service n'est plus rendu, et j'aimerais remettre un peu cette capacité à commenter en anonyme. Et comme je suis une feignasse, j'aimerais aussi que ça s'update tout seul avec apt en cas de mise à jour.

Comment faire pour avoir un captcha plus solide, sans perdre les capacités de mises à jour.
  • # code personnel

    Posté par (page perso) . Évalué à 2.

    A mon avis, il te suffit d'éditer un peu le code du captcha pour le rendre plus efficace et moins cassant, et de faire une sauvegarde du script dans un coin pour que lors de nouvelles mise a jour automatique tu puisse réintégrer manuellement ces modifications.

    C'est à mon avis un compromis nécessaire, tu ne peux avoir du code personnelle et souhaiter que les mis a jour ne les raze pas. aprés n'existerait il pas de système de pluggin pour cette application ?
  • # CAPTCHA cassé par ?

    Posté par . Évalué à 1.

    Est ce que tu sais au moins ce qui à cassé ton captcha ? (taux de réussite?) Car si c'est des chinois payés au milliers de mots de passe ...
    • [^] # Re: CAPTCHA cassé par ?

      Posté par (page perso) . Évalué à 3.

      J'ai deux range d'IP qui ont fait joujou, je vois des GET surt le captcha, suivi d'un POST pas longtemps après.

      Quasi 100% de réussite, mais un captcha tout pourri, PWNtcha doit se démerder très bien avec :o
  • # Cucurbitaceae

    Posté par (page perso) . Évalué à 10.

    Sinon, tu utilise reCaptcha ( http://recaptcha.net/ ), en plus, ça aide les systèmes de reconnaissance optique, et si c'est cassé, je pense qu'un patch arrivera très vite.
    Comme c'est plus dépendant de ton site même, plus à passer aux mises à jours.

    > il s'agit de centaines de posts ventant les mérites de médicaments érectiles ou de sites très très sale, que même houplaboum aurait honte.
    Halala... La publicité ciblé...

    :)
  • # utilise le paquet backports.org

    Posté par (page perso) . Évalué à 2.

    Je sais pas si la version 2.2 corrige le problème mais si c'est le cas backports.org maintient le paquet pour la 2.2

    http://backports.org/dokuwiki/doku.php?id=instructions

    Ne pas oublier d'ajouter ceci dans /etc/apt/preferences pour éviter d'utiliser tout backports.org

    Package: *
    Origin: Backports.org archive
    Pin-Priority: 250


    Une solution provisoire est de ne pas permettre l'enregistrement de nouveaux comptes dans ta gallerie.
  • # chatton chelou

    Posté par (page perso) . Évalué à 4.

  • # invisible captchas

    Posté par (page perso) . Évalué à 7.

    t'as qu'à rendre tes captchas invisibles :

    http://ploum.frimouvy.org/?150-the-invisible-captcha-mechani(...)

    pas de captchas, commentaires anonymes et aucun spam en 2 ans. qui dit mieux ?
  • # Antispam

    Posté par (page perso) . Évalué à 3.

    En tant qu'utilisateur, je hais les captchas. Je connais deux moyens pour contrer le spam : utiliser un formulaire HTML personnalité que les robots ne connaissent pas (ils vont pas recoder leur outil juste pour TON site) ou alors filtrer le contenu (système de pondération utilisant un ensemble des règles). J'ai implémenté la 2e solution en Python :
    http://haypo.hachoir.org/trac/wiki/antispam

    Tu passes le message avec les entêtes à mon outil, il te dit spam ou pas spam. Il y a pas mal de messages légitimes détectés comme spam (au pif, entre 5% et 10%), mais sinon ça marche bien. Contacte moi si ça t'intéresse.
    • [^] # Re: Antispam

      Posté par . Évalué à 3.

      je confirme, les captchas sont une horreur, sur certains il faut retenter 10 fois... Je pense qu'une solution simple serait de demander une opération arithmétique simple comme 3 + cinq égal ?
      avec un javascript qui à une table du genre
      1, I, l, un ; 2, Z, deux, d3ux, 3, trois, 4, quatre, qu4tre...
      et qui donne des une des représentation des chiffres de manière aléatoire... Bon

      Si ça doit être international, il reste les images des chiffres et des signes mathématiques. Avant qu'un spammer écrive un bot spécifiquement pour ton site...

      Ou une image avec des rond, des carrés des triangle des crois, et une question demandant combien il y a de croix ^^.

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.