Journal Les créateurs de formulaires sont complètement abrutis...

Posté par (page perso) .
Tags : aucun
16
23
mar.
2009
J'en ai marre des créateurs de formulaires web. J'ai l'impression que tout est fait pour être le plus stupide possible.

Passons le classique bouton "remettre à zéro" juste à côté de "envoyer". Est-ce qu'une seule personne au monde s'est déjà dit : "oh ben tiens, je voudrais remettre à zéro le formulaire que je viens de mettre 15 minutes à remplir" ? Heureusement, ce truc affreux passe de mode.

Un truc qui reste cependant, ce sont les champs avec des règles imposées mais ces règles ne sont affichées que si tu te trompes une fois. Genre : "Entre ton nouveau mot de passe :" Tu entres "ah ben non, il doit faire 17 caractères dont 3 chiffres et une ponctuation".. Argh ! pouvait pas le dire plus tôt ?

Ou mieux : "Téléphone", tu l'entres avec des points entre les chiffres, genre : "+.32.3.456.678.98" mais non, tu apprends que seuls les chiffres sont autorisés (et tu peux pas retirer les . tous seuls ?)


Le sommet vient avec les captchas. (Je n'arrête pas de dire que c'est inutile pourtant : http://ploum.frimouvy.org/?150-the-invisible-captcha-mechani(...) )

Déjà, 90% des captchas sont quasiment impossibles à lire par un être humain (les robots y arrivent pas mal bien eux). Mais là où c'est splendide c'est qu'un captcha a généralement une durée de vie limitée. Genre il doit s'écouler max 2 minutes entre le moment où le captcha est demandé et le moment où le formulaire est soumis. Comme remplir un formulaire + un captcha en - de 2 minutes n'est pas à ma portée, il est statistiquement 100% certain que chaque formulaire que je remplis va rater au moins une fois ! Ce qui est complètement abhérrant et offre une expérience utilisateur ignoble : designers web, pensez ne fût-ce qu'une seconde que la première chose que vos clients potentiels risquent de voir est un message rouge de refus !

Bref, je me demande combien de "clients" sont perdus à cause de ce genre de choses. Quand je vois combien d'inscriptions j'ai abandonné (et pourtant je suis un geek, je devrais comprendre plus facilement). Moralité: je ne m'inscris plus qu'aux trucs vraiment vraiment indispensables (assurances, cartes de crédit, etc..)


Mais la cerise sur le gâteau reste à mes yeux la toute formidable "question de sécurité". J'avoue que le principe m'échappe complètement. Quel est l'intérêt d'avoir un mot de passe si n'importe qui qui connaît le nom de mon chien ou le nom de jeune fille de ma mère peut accéder à mon compte ? Je veux dire, ce sont les questions les moins secrètes qu'il soit possible d'imaginer ! C'est vraiment complètement stupide, je ne vois pas en quoi ça peut ajouter quoi que ce soit sauf des emmerdes !

Bref, dîtes-moi pour me rassurer que les mecs qui pondent tout ça le fond exprès, par pure méchanceté. Je respecte la méchanceté mais la bêtise me fait peur...
  • # pour les questions de sécurités

    Posté par . Évalué à 2.

    certains sites proposent de les créer nous même.
    Pendant un temps j'affectionnai particulièrement
    «Êtes vous entrés dans la Moria?»
    et la réponse n'était pas oui, non, melon, mellon, pastèque, mais un truc auquel la question me faisait penser et que je ne risquai pas d'oublier :D

    Mais bon en général c'est vrai que c'est mal foutu...

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # OpenID

    Posté par . Évalué à 2.

    Quelque soit le formulaire, ce serait toujours fastidieux à remplir.
    Pourquoi aussi peu de sites proposent une authentification OpenID qui simplifierait grandement ce genre de problème?
    • [^] # Re: OpenID

      Posté par (page perso) . Évalué à 3.

      Il dit qu'il voit pas le rapport. Tu peux remplir un formulaire sans être identifié (authentifié?)…
      • [^] # Re: OpenID

        Posté par (page perso) . Évalué à 2.

        Ouais t'a raison c'est pas comme si 50% des formulaires étaient des logins et des inscriptions, et qu'ils ne voudraient pas remplir mon formulaire alors qu'il l'a déjà fait 649 fois pour les autres. ;)
        • [^] # Re: OpenID

          Posté par (page perso) . Évalué à 1.

          Oui mais bon, là dans le sujet on parle de captcha, donc soit sans authentification, soit avec un soucis anti-spam. Dans les deux cas tu as ta réponses :
          – pas d'authentification : pas d'OpenID
          – anti-spam : pas d'OpenID, vu que n'importe qui peu ouvrir un serveur et faire des comptes à spam, encore plus simple pour les spammers
        • [^] # Re: OpenID

          Posté par (page perso) . Évalué à 3.

          oui mais il critique les captchas et les questions de sécurité. ce genre d'elements n est en general présent que sur les formulaires d'inscriptions (que l'on zapperait grace a OpenID oui)
          • [^] # Re: OpenID

            Posté par . Évalué à 2.

            Malheureusement non. Sur certains forums il y a un captcha à chaque fois que tu veux laisser un message. Idem sur certains blog ...
  • # sécurité vs facilité

    Posté par (page perso) . Évalué à 5.

    « Mais la cerise sur le gâteau reste à mes yeux la toute formidable "question de sécurité". J'avoue que le principe m'échappe complètement. Quel est l'intérêt d'avoir un mot de passe si n'importe qui qui connaît le nom de mon chien ou le nom de jeune fille de ma mère peut accéder à mon compte ? »

    En cours, un prof nous avait dit que c'était simplement parce qu'ils étaient submergés par des clients qui contactaient le service client parce qu'ils avaient perdu leur mot de passe. Du coup, un truc totalement non sécurisé mais qui permet d'éviter d'être harcelé au téléphone / mail, ils ont fait le choix.

    blog.rom1v.com

    • [^] # Re: sécurité vs facilité

      Posté par (page perso) . Évalué à 8.

      Et un simple script qui te renvoie un nouveau mot de passe par mail c'est pas bon ?
      • [^] # Re: sécurité vs facilité

        Posté par . Évalué à 1.

        Peut-être que le but n'est pas d'être sécurisé mais d'avoir l'air de l'être ?
        être ou paraître...

        On peut imaginer que le fait d'ajouter une "question de sécurité" fait passer le message qu'un mot de passe c'est important et que de le perdre n'est pas innocent. Ce à quoi tu pourrais répondre qu'il faudrait mieux l'expliquer dans le message renvoyant le mot de passe, je te répondrai : aussi.
        • [^] # Re: sécurité vs facilité

          Posté par . Évalué à 6.

          Dans le genre truc qui fait semblant d'être sécurisé, j'ai en horreur également les "clavier virtuels" des banques pour taper^W cliquer le mot de passe.... Ah c'est sur ça protège des keylogger, mais le premier abruti venu est capable de prendre une capture d'écran de l'endroit ou clique la souris. D'ailleurs comme je vais peut-etre devoir changer de banque pour un crédit immo, c'est pas dit que je me fasse pas un truc de ce genre pour mon usage perso afin de pas m'énerver à chaque fois sur ce truc.
          • [^] # Re: sécurité vs facilité

            Posté par . Évalué à 1.

            En ce qui concerne ma banque, le clavier virtuel reste très sécurisant (en dehors de la "perte de temps" que cela ajoute).

            Avec mon compte, on m'a fourni un tableau imprimé sur une carte de crédit (enfin sans puce :P ) personnalisée (un autre client de la banque n'aura pas le même). Le clavier virtuel te permet de rentrer la valeur d'une case du tableau en te donnant son abscisse et son ordonnée.

            De plus le dit clavier virtuel comporte plus de touches que de caractères utilisés, et ces caractères sont distribués aléatoirement sur cette grille à chaque session.

            Inconvénient de la méthode : Il faut avoir sa petite carte avec soi quand on veut accéder à une opération protégée par ce système. Corollaire : Il ne faut pas perdre sa carte.
            • [^] # Re: sécurité vs facilité

              Posté par (page perso) . Évalué à 4.

              Ce système de clavier virtuel est totalement absurde. Essai donc de lire un mot de passe que saisie au clavier, si tu y arrives, chapeau bas. Maintenant essai donc de regarder où quelqu'un clique sur son clavier virtuel…
            • [^] # Re: sécurité vs facilité

              Posté par . Évalué à 5.

              En ce qui concerne ma banque, le clavier virtuel reste très sécurisant (en dehors de la "perte de temps" que cela ajoute).

              Tu veux plutôt dire que ca apporte une impression de sécurité. Mais en réalité c'est du n'importe quoi.

              Le "clavier virtuel" et la carte de codes type "touché coulé" ne sont pas forcément liés. Au CMUT, cette carte de code est nécessaire (pour certaines opérations), mais nul besoin de clavier virtuel alakon©.
            • [^] # Re: sécurité vs facilité

              Posté par . Évalué à 1.

              Je ne défends pas plus que ça le clavier virtuel, mais l'impression de sécurité n'est pas spécialement "faussée", je la trouve plutôt réelle.

              [ Je déteste le clavier virtuel à cause de l'inconfort qu'il me procure, étant loin d'être un clico-maniaque. ]

              Déjà, je ne compose aucun mot de passe sensible avec une personne regardant mon clavier et a fortiori mon écran ; Un tel comportement est à mon sens totalement incompatible avec une quelconque sécurité... Par contre, si le key-loging est possible, je souhaite bonne chance à ceux qui tente de trouver le code *cliqué* de manière aléatoire plutôt que tapé.

              De plus, cela permet d'éviter les bots qui rempliraient la case demandant le mot de passe en boucle de manière automatique et exhaustive (même si on s'éloigne d'une recherche par dictionnaire, on reste dans un cas "simple" de 10 chiffres et une poignée de lettres).

              Maintenant je me berce peut-être d'illusions, mais dans ce cas, j'aimerais qu'on m'explique où je pêche dans le raisonnement.
              • [^] # Re: sécurité vs facilité

                Posté par . Évalué à 4.

                Par contre, si le key-loging est possible, je souhaite bonne chance à ceux qui tente de trouver le code *cliqué* de manière aléatoire plutôt que tapé.


                Suffit de faire une capture de la zone sous le pointeur de la souris, ça a rien de compliqué. Ça rend le keylogger un peu plus lourd et plus compliqué, mais ça n'a rien d'impossible.

                De façon plus générale, tant qu'un utilisateur est identifié uniquement par un mot de passe qu'il doit entrer à chaque login, il sera vulnérable à une attaque par keylogger, peu importe la façon dont il va l'entrer. Si on veut augmenter la sécurité, il faut demander une deuxième information, qui change à chaque login (ça peut être aussi simple qu'une liste à biffer)
                • [^] # Re: sécurité vs facilité

                  Posté par . Évalué à 1.

                  Mmm, je n'avais pas envisagé ce fait.

                  Après test, du coup, je remarque que les boutons *s'effacent* lors du clic (au click-down) pour se redisposer ensuite (au click-up). C'est suffisant pour parer ce genre de "screenlogger" ?

                  Quoiqu'il en soit, et contrairement à beaucoup de banque, que ce soit parfait ou non, celle-ci a tenté de penser à tout. (Encore qu'a mon avis un security-token OTP genre SecurID pourrait être l'idéal)
                  • [^] # Re: sécurité vs facilité

                    Posté par . Évalué à 1.

                    Après test, du coup, je remarque que les boutons *s'effacent* lors du clic (au click-down) pour se redisposer ensuite (au click-up). C'est suffisant pour parer ce genre de "screenlogger" ?

                    Non, il suffit de faire la capture d'écran 0.1s après le mouse-up.
      • [^] # Re: sécurité vs facilité

        Posté par . Évalué à 4.

        Non.
        Pas de mot de passe en clair dans les mails.
        Je ne comprends pas pourquoi autant de sites font ca...

        Dans le mail on donne un lien pour réinitialiser le mot de passe.
        • [^] # Re: sécurité vs facilité

          Posté par . Évalué à 1.

          Pour être sûr que c'est bien le "propriétaire" du compte (identifié par son mail) qui veut changer son mot de passe ?

          Histoire d'éviter qu'un crétin change ton mot de passe dans ton dos et que tu ne puisse plus le changer faute de pouvoir te connecter à ton compte. Au pire tu redemande un nouveau mot de passe, et tu le reçois dans TA boîte mail, pas sur un écran sans aucune trace.

          C'est pas ultra secure peut être de le faire en clair, mais bon, on discute de compromis ici ...
        • [^] # Re: sécurité vs facilité

          Posté par . Évalué à 0.

          PS: réinitialiser le mot de passe t'entend quoi ? Parce que pour quelqu'un qui se souvient plus de son mot de passe, il s'en souviendra pas plus en réinitialisant.
        • [^] # Re: sécurité vs facilité

          Posté par . Évalué à 9.

          Pas de mot de passe en clair dans les mails. Dans le mail on donne un lien pour réinitialiser le mot de passe.

          Malheureux ! Ton lien passe en clair dans les mails ! C'est comme si tu donnais le mot de passe en clair puisque tu donnes en clair le moyen de le changer.

          Non la VRAIE solution c'est un lien vers le lien qui permet de réinitialiser le mote de passe !

          (Ok je sors)
      • [^] # Re: sécurité vs facilité

        Posté par (page perso) . Évalué à 2.

        Et un simple script qui te renvoie un nouveau mot de passe par mail c'est pas bon ?

        Super.
        Comme ça, la sécurité de ton site dépend de la sécurité de l'hébergeur mail de tes clients.
        Et malheureusement, beaucoup de site, même "sensibles", le font... Grrrr... Sécurité bof du coup (et aléatoire).
        • [^] # Re: sécurité vs facilité

          Posté par (page perso) . Évalué à 2.

          ben moi je trouve ça un très bon compromis. La plupart des gens font plus attention à leur mail qu'à un autre compte et il faut bien un moment ou un autre faire "confiance". Pour les données qui ne sont pas ultra-critiques (genre un compte en banque), je trouve que c'est la solution la moins mauvaise : on renvoie un nouveau mot de passe sur l'adresse mail.
    • [^] # Re: sécurité vs facilité

      Posté par . Évalué à 6.

      Enfin, sur Facebook je veux bien, mais le nouveau truc de sécurité de ma carte bancaire propose aussi de remettre mon mot de passe à zéro en échange du deuxième prénom de mon père... ça fait peur.

      Et ça ne me renvoie pas le MDP par email, hein, ça le change illico, sans confirmation.
      • [^] # Re: sécurité vs facilité

        Posté par (page perso) . Évalué à 5.

        Oui, c'est de là que vient mon coup de gueule. Tout ce que je décris ici au-dessus vient d'un formulaire pour gérer en ligne ma carte VISA corporate...
      • [^] # Re: sécurité vs facilité

        Posté par (page perso) . Évalué à 5.

        Et ton père s'appel }t&AfDOy&r&#mSa!pgYzYBG215=NFE$Eh-~y!5=%(E#A% c'est ça ?
        • [^] # Re: sécurité vs facilité

          Posté par (page perso) . Évalué à 2.

          PS : pour les mots de passe, perso j'utilise apg :

          % apg -a 1 -m 45
          zMVxDFxx~]^27TEx.1,W6pm!Fo$HO:/U8nm#apR%Y3l-S
          +TJ\g6>blZ2tcKqTwnxTR8bBQ]2W9GkKhyQ.w>$`El74L
          GdkJ:}q(C[kWb/"Qf.&B/UP%U<O-@25C&(MIZXWIc]/ct
          \QvV+B3r}zp?[}Zg/"DUr_M-"L}_Tr`-ERrL[4emd7;@}
          mGDFk0z%P{Sc"g-)s%O2Bg=l?83C4&Q1@3Mvy8S4tmdZ,
          aH\bq^H>g:pd:v4r)gCXxdQ3tQ[{>,jdpD1jyO'G$7u`3
          % #8 caractères minimum par défaut
          % apg -a 1
          }P`L0MU>\
          Z2^,Li`rb
          WI&@L{15h
          iM%K(Rd#$
          HfHkw6Vn)
          c1UJFu^_z


          Et vous ?
          • [^] # Re: sécurité vs facilité

            Posté par . Évalué à 6.

            Vu la façon souvent olé olé dont est implémenté la gestion des mots de passe sur pas mal de forums et autre formulaire d'inscription, tu risque de te retrouver bloqué avec ce genre de mot de passe.

            Expérience vécue avec mon FAI Ce***el. Lors de mon inscription, j'avais choisi un mot de passe suffisamment solide (lettres + chiffres + caractères divers). Pas de bol, ils ont été rachetés par N**f qui du coup à refait toute l'interface web d'administration. Et forcément, le nouveau formulaire ne laisse passer que les chiffres et les lettres (probablement pour se protéger d'attaques type XSS ou injection). Quand j'entre mon mot de passe, il me dit qu'il est invalide sauf qu'il est bien valide puisque je peut toujours me connecter avec. Idem pour le mot de passe de la messagerie. Je peux récupérer mes mails... mais par les lire via le webmail ("mot de passe invalide"). Lors de la migration, il aurait quand même été judicieux de se poser la question des contraintes qui étaient imposées chez l'un et l'autre.
          • [^] # Re: sécurité vs facilité

            Posté par . Évalué à 2.

            Personnellement, j'utilise pwgen, qui a l'avantage de produire des mots de passe (vaguement) prononçables, et donc assez faciles à retenir.
        • [^] # Re: sécurité vs facilité

          Posté par . Évalué à 10.

          non, il s'apppelle Robert'); DROP TABLE Users;--

          http://xkcd.com/327/
  • # confirmer le mail

    Posté par . Évalué à 5.

    dans le genre je prend les gens pour des débiles :
    votre mail :
    confirmation de votre adresse mail :

    vu sur voyage-sncf entre autres, mais ça devient à la mode je crois…
    • [^] # Re: confirmer le mail

      Posté par . Évalué à 10.

      Surtout qu'à chaque fois, je fais un copier-coller donc s'il est faux, il est faux deux fois :P
    • [^] # Re: confirmer le mail

      Posté par . Évalué à -2.

      Quand on veut être sur que l'adresse email est correctement saisie c'est la seule solution.

      Dans le cas d'un site commercial, ça permet de s'assurer que les reçus atterriront bien dans la messagerie du client.

      BeOS le faisait il y a 15 ans !

      • [^] # Re: confirmer le mail

        Posté par . Évalué à 3.

        Quand on veut être sur que l'adresse email est correctement saisie c'est la seule solution.
        Non, à l'origine la RFC specifie la commande SMTP "VRFY".
        Or cette commande est généralement désactivée pour éviter aux spammers de justement vérifier leurs adresses générées.
        • [^] # Re: confirmer le mail

          Posté par . Évalué à 2.

          je suis pas sur qu'il existe une RFC qui specifie comment demander a un humain de remplir un formulaire.

          Le fait que l'adresse email existe effectivement ne veut pas dire qu'elle est bien celle de la personne qui a rempli le formulaire.
      • [^] # Re: confirmer le mail

        Posté par (page perso) . Évalué à 1.

        Dans le cas d'un site commercial, ça permet de s'assurer que les reçus atterriront bien dans la messagerie du client.

        Peux-tu me dire par quelle magie tu fais d'un copier-coller un correcteur d'adresse mail?
        Bon, OK, j'imagine que tout le monde ne fait pas de copier-coller... Mais est-ce vraiment garanti qu'il y a x% (combien x?) qui ne fait pas de copier-coller?
        • [^] # Re: confirmer le mail

          Posté par (page perso) . Évalué à 2.

          Moi j'en fait pas car je tape plus vite mon adresse mail que de bouger ma main vers la souris pour sélectionner l'adresse. (sauf quand j'utilise les adresses secondaires de yahoo (très pratique pour les site halakon©))

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: confirmer le mail

          Posté par . Évalué à 4.

          Je dois être un des rares qui sait faire un copier coller, mais qui tape quand même son email deux fois... simplement parce que je vois ça comme une protection anti-typo et que je suis docile. D'ailleurs, une ou deux fois, ça m'a fait corriger une typo.
      • [^] # Re: confirmer le mail

        Posté par (page perso) . Évalué à 1.

        Ou encore, on peut envoyer les mails avec une adresse de retour valide, de sorte que si le mail se fait rejeter il y a quelqu'un ou quelque chose qui est automatiquement informé, et peut ainsi prendre les mesures nécessaires.
      • [^] # Re: confirmer le mail

        Posté par . Évalué à 1.

        En quoi ça garantit que l’adresse email est correcte ??
        Si on mets un troisième champs vérification de la vérification de l’email ça sera trois fois mieux c’est ça ?
        • [^] # Re: confirmer le mail

          Posté par . Évalué à 2.

          La plupart des gens tapant effectivement les champs plutot que de les copier coller, ca permet d'etre sur que les deux entrees sont les memes et que donc si l'adresse existe, on est a peu pres certain que c'est bien l'adresse dudit client, la probabilite de faire 2 fois la meme faute a l'affilee etant quand meme tres faible.

          Verifier que l'adresse existe bien n'est pas suffisant, si la faute de frappe te donnes un mail qui existe aussi.
          Genre martin75@hotmail.fr orthographie martin57@hotmail.com. Ou encore martin75@hotmaiol.com (sisi, le domain existe, je viens de verifier, par contre le faites pas au boulot, ya des madames toutes nues dessus).

          C'est sur que si tu copies/colles, ca sert pas a grand chose.
          Je le fait perso parce que j'aime pas taper les @, mais je verifie moi meme avec mes pitits noeinoeils que j'ai pas fait de fautes.
          • [^] # Re: confirmer le mail

            Posté par (page perso) . Évalué à 6.

            la probabilite de faire 2 fois la meme faute a l'affilee etant quand meme tres faible.
            Et bien non au contraire.
            Quand je tape 2 fois de suite la même chose mes mains répétent le mouvement et je refais la même faute, ca m'est déjà arrivé et depuis je fais des copier/coller vu que ça ne sert à rien.
          • [^] # Re: confirmer le mail

            Posté par . Évalué à 10.

            Pourquoi ne pas mettre deux champs pour le nom d’utilisateur alors ?

            Au départ il me semble que le champs « vérification » était réservé aux mots de passe cas on ne pouvais pas visuellement vérifier qu’on avait taper le bon… ce qui est compréhensible.

            Mais mettre deux champs car l’utilisateur ne sait pas se relire, j’appelle ça le prendre pour un idiot.
    • [^] # Re: confirmer le mail

      Posté par . Évalué à 2.

      Non non, ils s'adaptent a la clientele :D
    • [^] # Re: confirmer le mail

      Posté par . Évalué à 5.

      Si on prend les gens pour des neu², autant leur faire remplir tout les champs 2 fois... alors qu'il suffit, comme la plupart des forums, d'envoyer par email un lien d'activation ....
      Vraiment débile cette manie de vouloir confirmer son adresse email en la resaisissant...
  • # a propos du captcha

    Posté par . Évalué à 1.

    j'en ai trouvé un vraiment dur a dechiffrer la premiere fois, bon une fois le truc compris c'est toujours difficile surtout avec des G O 0

    c'est en bas a droite : Inscrivez ce code ici

    http://www.megaupload.com/?c=signup


    en plus cela me parait pas trop dur a casser de maniere logiciel
    • [^] # Re: a propos du captcha

      Posté par (page perso) . Évalué à 2.

      Je les trouve au contraire beaucoup plus simple à déchiffrer. Je pense que le fait que les traits se continues quand deux lettres se superposent(grâce à l'inversion des deux couleurs) aide le cerveau à décoder(mais du coup, les robots risquent aussi de s'en sortir bien plus facilement, en sortant juste les contours).

      Sinon, ce site à l'air pas mal. Ils ont l'air de proposer un espace de stockage de 200Gb gratuit, et Illimité payant. Tu l'utilises? Ca fonctionne bien?
      • [^] # Re: a propos du captcha

        Posté par . Évalué à 2.

        non je suis tombé dessus par hasard, a force d'en entendre parler. mais le captcha a été dissuasif :)
    • [^] # Re: a propos du captcha

      Posté par . Évalué à 5.

      Les captchas de rapidshare étaient pas mal à une époque (je sais pas comment c'est maintenant), en fait, c'était des lettres et des chiffres en noir sur fond blanc de travioles. Il y en avait environ 5. Sur ces lettres il y avait un animal dessiné grossièrement avec des traits noirs (on reconnait la forme), il est placé n'importe comment sur la lettre (genre tourné de 90°, c'est selon où il est sur la lettre) pis il fallait noter les caractères sur lesquels il y avait un chat (ah, j'oubliais, en plus il y avait des chats assis et des chats debout). Vous avez rien compris ? Mouais, c'était vraiment le bordel, faudrait une photo ça serait plus clair.
  • # t'es dur

    Posté par . Évalué à 1.

    Pour le bouton "remettre à zéro", ce ne sont pas les développeurs web qui ont pensé à cette fonctionnalité. Un bouton de type "reset" est le comportement normal dans HTML. Maintenant pour l'ergonomie, à coté d'un bouton "confirmé", il doit plutot il y avoir un bouton "annuler" qui redirige vers la dernière page visitée.

    Pour le mot de passe, c'est sur que si tu choisis "toto" comme mot de passe, tu cherches un peu. Tu devrais être un utilisateur averti et utiliser des mots de passe un poil compliqué. Dans ce cas là, tu n'aurais pas eu d'erreur.

    Pour le téléphone, là, tu pousses, aucuns formulaires à ma connaissance ne demande autre chose qu'une suite de chiffres ou de lettres pour un numéro de téléphone.

    Mais effectivement, sur des sites pensé par des personnes ayant quelques notions d'ergonomie, il doit être affiché sur la page ce que l'on attend de l'utilisateur pour chaque champs d'un formulaire.

    Le captcha est effectivement une plaie, mais les bots aussi. Et c'est évidement un compromis bien difficile pour un développeur web. Entre les images illisibles et inaccessible où les questions du genre "2 + 2 =".

    Pour finir, "les questions qui tue", n'importes qui de pas trop neu-neu, donnera une réponse dont il est sûr de se souvenir mais ne renseignera jamais "médor" si il choisi "quel est le nom de votre chien".

    ça me rappelle d'ailleurs une anecdote qui circulait quand je faisais de la hotline chez un FAI pendant l'été 2001. Les questions secrètes pouvaient être choisies. Un abonné avait choisi la question "Quelle est la fille la plus conne du monde ?" réponse "Laure" en référence au premier loft story.
    • [^] # Re: t'es dur

      Posté par . Évalué à 1.

      J'en rajoute une couche pour les numeros de telephones.

      C'est typiquement le genre de trucs que tu veux formatter pour le presenter au client ( genre (area code) 111 2222 aux us, 01 23 45 67 89 en france etc), donc des points chez l'un, des tirets chez l'autre, des slash ailleurs...
      Paye ta galere.

      Dur aussi de stripper des bouts de chaines automatiquement.
      Peut etre que ton utilisateur s'est tout simplement gourre dans la chaine saisie. Et tu veux pouvoir lui dire.
      Peut etre que ce qui vient apres le point, c'est son extension sur son numero perso.

      Au final, t'es plus ou moins oblige d'imposer un format strict, le plus simple etant +3chiffres optionel (pays) suivi de numero, separes ou nom par des espaces, suivi de x 5 chiffres optionel pour une eventuelle extension.
      • [^] # Re: t'es dur

        Posté par . Évalué à 4.

        Sauf que justement, ce format "strict" (international), la plupart des formulaires le vomissent, et exigent du "10 chiffres à la suite". Et ayant plutôt l'habitude de noter les numéros de téléphone au format inter, je me fais avoir 9 fois sur dix.

        C'est pourtant pas compliqué : à l'exception du + (et de l'étoile, si on veut être exhaustif), tous les caractères non-numériques sont à ignorer : un clavier de téléphone "de base" ne sait pas les reproduire de toutes manières. Des validations d'entrées aussi bateaux, j'en veux bien tous les jours...
        • [^] # Re: t'es dur

          Posté par . Évalué à 1.

          Non justement, tu veux pas forcement les ignorer.
          Tout simplement parce que ca peut parfaitement etre une grosse erreur de saisie de l'utilisateur, que tu auras par chance 7 a 10 chiffes dans ton machin, et tu veux lui signaler.
          Si ces caracteres ne sont pas valides pour un numero de telephone, tu dois les interdire.

          Quand au format strict international, on peut pas vraiment dire qu'il existe.
          Les francais ecrivent les numeros par paires de chiffres, sauf dans le cas du numero international ou tu droppes le premier 0.
          Les ricains ont un (123) 123-1234 ou le premier 123 est optionnel et doit etre entre parenthese si indique. L'optionnel est parce que l'area code est falcutatif si tu appelles de l'area en question (comme si le 01 etait optionnel pour appeler paris depuis paris).

          Je ne doute pas qu'il ya une proportion non negligeable qui groupe par 3, certains pays ont tout juste 8 chiffres, c'est un bordel sans nom.
          Si en plus on doit commencer a deviner que l'utilisateur separe par des points, des slashs, des dash ou que sais je encore, on s'en sort plus.

          Demander 10 chiffres a la suite est tres pratique, ca permet de formatter simplement et correctement le numero apres coup en etant sur de pas ruiner l'info entree par le client.
          Virer les espaces est a la rigueur faisable (encore que, faut faire gaffe a l'indicatif international), mais le reste peut etre dangereux.
          • [^] # Re: t'es dur

            Posté par (page perso) . Évalué à 2.

            Oui mais c'est ça justement le boulot des développeurs web : faire un formulaire. C'est facile de mettre tout le boulot sur le dos de l'utilisateur sous prétexte que "techniquement, c'est difficile".

            Pour paraphraser Thiéfaine : les hommes ont été sur la lune, je ne peux pas croire qu'ils ne puissent pas parser un numéro de téléphone dans un formulaire. Imposer une contrainte sous prétexte de trouver une éventuelle erreur est un non-gain : tu laisseras de toutes façons passer toutes les erreurs "plausibles" (un 0 en trop) et, au contraire, tu risques d'invalider des vrais numéros ! J'ai déjà eu le coup où mon le formulaire avait des exigences de fou dans lesquelles mon numéro ne validait pas. Du coup, j'ai dû, par essai-erreur, trouver une suite aléatoire de chiffre qui était acceptée pour pouvoir remplir le formulaire.

            Première règle d'ergonomie : penser comme un utilisateur. Un utilisateur qui se trompe n'en voudra pas au système. Un utilisateur qui est "corrigé" par le système sera, au mieux, légèrement frustré, au pire, ira voir ailleurs.

            Et puis comme je dis : toute contrainte, quelle qu'elle soit, doit être explicitée à côté de l'entrée concernée du formulaire !
            • [^] # Re: t'es dur

              Posté par . Évalué à 4.

              Suffit d'indiquer la regexp qui valide le form à coté de l'entrée :)
            • [^] # Re: t'es dur

              Posté par . Évalué à 2.

              C'est également facile de tout mettre sur le dos du développeur, ainsi que de les mettre tous dans le même sac d'ailleurs. Beaucoup de développeurs web sont conscient des problèmes d'ergonomie et d'accessiblité.

              Après tu as des gens au-dessus du développeur qui lui demande plutôt de mettre une pub en flash à la place d'une aide pour le formulaire par exemple.

              Donc, on est bien d'accord qu'un formulaire web est tout aussi chiant à remplir qu'un formulaire de déclaration d'impôts. Mais il y a des règles, comme partout, et il faut les respecter, sinon, on te remet sur le droit chemin, comme partout.
              • [^] # Re: t'es dur

                Posté par (page perso) . Évalué à 1.

                "Mais il y a des règles, comme partout, et il faut les respecter, sinon, on te remet sur le droit chemin, comme partout. "

                C'est peut-être ton cas mais personnellement, ce n'est pas ma manière de fonctionner. J'avoue, c'est un débat plus philosophique et un peu hors sujet ;-)
            • [^] # Re: t'es dur

              Posté par . Évalué à 1.

              t'es marrant toi.

              Donnes moi un moyen fiable de stripper les caracteres illegaux dans ton numero de telephone (d'un autre cote, c'est quoi cette manie de mettre des points dans un numero de telephone?), tout en detectant les erreurs, et si possible sans prendre 2Mo de source, parce que bon, on a autre chose a foutre que de parser des numeros de telephone, comme par exemple ecrire une application metier qui rend un service.

              Sincerement.

              Et pour les mails, on fait pareil? Tu dumpes aussi tous les caracteres illegaux, quitte a accepter une chaine erronee?

              Idem pour les dates, avec ces relous d'anglophones qui notent mm/dd/yyyy, on se retrouve a forcer un format tres precis.

              Et qu'est ce qui va se passer apres? On a ploum qui va se gourrer, rentrer par erreur 19.01.2009 10:15 et faire un journal pour se plaindre que le formulaire ne l'a pas averti et que son numero de telephone est maintenant +19 01 20 09 10 15

              Quand a ne pas accepter de numeros valide, je me demande bien comment ma regexp (+\d{3})? \d{7,10}(x\d{1,5})? peut donner un faux negatif...

              Ta remarque revient un peu au meme que de se plaindre que gcc te dit "missing ; at end of line". Il peut pas les rajouter lui aussi?
              Ben non, il peut pas, parce que c'est une erreur et que le systeme n'a pas a deviner ce que t'as voulu dire.
              Il se contente de te dire que l'entree n'est pas valide, le probleme se trouve la, a toi d'expliciter ta pensee.
              • [^] # Re: t'es dur

                Posté par . Évalué à 4.

                >Donnes moi un moyen fiable de stripper les caracteres illegaux dans ton numero de telephone (d'un autre cote, c'est quoi cette manie de mettre des points dans un numero de telephone?), tout en detectant les erreurs, et si possible sans prendre 2Mo de source, parce que bon, on a autre chose a foutre que de parser des numeros de telephone, comme par exemple ecrire une application metier qui rend un service.
                voila :D
                chaine =~ /[^0-9]//g
                #ensuite tu peux vérifier la longueur
                if ( chaine =~ /[0-9]{10}/ ) {}

                Sincèrement c'est 2 lignes alors pourquoi ne pas faire ça, pour les points, certains espacent des chiffres avec un caractère ' ', d'autre des '-', et certains des '_'. Ensuite relire une suite de 10 chiffres c'est plus difficile que des chiffres groupés par 2 ou 3, et il y a moins de chance d'avoir une erreur comme cela.

                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                • [^] # Re: t'es dur

                  Posté par . Évalué à 1.

                  Et elle detecte quoi ta regexp la? Elle se contente de virer les caracteres illegaux.
                  comment tu fait pour detecter le fait que 10.JAN.2009 10:15 n'est pas un numero de telephone valide?
                  Et qu'est ce qu'il se passe si tu rentres +33 0123456789?
                  tu finis avec 330123456789, ce qui est errone.
                  Ou encore +1(310)1234567x405, tu perds l'extension.
                  Plutot moyen, non?

                  Sincèrement c'est 2 lignes alors pourquoi ne pas faire ça
                  Pourquoi?
                  Parce que tu ne prend plus un numero de telephone, mais une chaine de texte libre.
                  Pourquoi ne pas faire ca pour les emails aussi?
                  et les mots de passe? On strippe tous les caracteres illegaux et on ne dit rien a l'utilisateur!!

                  Sincerement, tu vois pas le probleme qu'il ya a dans ce que tu fais?
                  Tu jettes toute la validation semantique de ton input a la poubelle...
                  • [^] # Re: t'es dur

                    Posté par . Évalué à 3.

                    si l'utilisateur veux rentrer n'importe quoi comme n° de téléphone c'est un cerveau qu'il devrai s'acheter.

                    Le but est de simplifier la vie de l'utilisateur, si tu veux limiter le n° de téléphone à 10 chiffres, tu fais
                    if( /^[0-9]{10}$/ )
                    si tu veux permettre l'international
                    il vaut mieux faire au début
                    /(?:\(?\+?([0-9]{2})\)?)?\s*((?:[0-9].*){10})$/
                    ($inter, $no)=$1,$2;
                    $no=~ s/[^0-9]//g;
                    if( $no=~ /^[0-9]{10}$/ )

                    quant à ton
                    +1(310)1234567x405
                    1) je n'ai jamais vu ce type de n° de téléphone (et je le compose comment su le mien?
                    2) je doute qu'il passe dans les systèmes actuels

                    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                    • [^] # Re: t'es dur

                      Posté par . Évalué à 0.

                      if( /^[0-9]{10}$/ )
                      Mais ca ne t'assure de rien ca... Surtout apres avoir strippe la moitie de ta chaine aveuglement.
                      Les numeros peuvent faire de 7 a 12 chiffres ( 7 = US en local, 12 = pays a 10chiffres + indicatif), plus une extension qui peut aller jusqu'a 4 ou 5 chiffres. 5 chiffres, ca laisse beaucoup de marge pour se ramasser.
                      La longueur de la chaine ne t'apporte quasiment rien comme info.

                      si l'utilisateur veux rentrer n'importe quoi comme n° de téléphone c'est un cerveau qu'il devrai s'acheter.
                      Certes, mais je n'en vends pas, donc je ne peux pas lui en fournir, je doit donc faire avec sa connerie.
                      Traiter l'utilisateur d'abruti, c'est ptetre reconfortant pour ton qi, mais c'est pas tres constructif.
                      Ah oui, et aussi, c'est pour ca qu'on valide les formulaires en premier lieu, parce que les utilisateurs etant humain, meme les plus intelligents d'entre eux font ce qu'on appelle des erreurs.
                      Un truc qui est cense etre humain.

                      Les erreurs de saisies, ca existe. copier coller un numero depuis son agenda, et se gourrer sur le champs ou sur le copier, c'est possible. Et sans etre le dernier des abrutis.
                      Meme si l'utilisateur est un abruti, ben faut faire avec, ca fait partie des contraintes. Et du boulot.


                      quant à ton
                      +1(310)1234567x405
                      1) je n'ai jamais vu ce type de n° de téléphone (et je le compose comment su le mien?


                      Tu ne l'as peut etre jamais vu, mais c'est mon numero du boulot. 'fin pas le 123456 evidemment, mais c'est comme ca qu'il est marque sur ma carte de visite.
                      +1 US
                      (310) area code west LA
                      123456 numero local
                      x405 numero de poste, que tu composes une fois que le standard automatique a decroche.

                      Tu le composes sur ton telephone comme n'importe quel autre.

                      2) je doute qu'il passe dans les systèmes actuels
                      Ca depend du systeme.
                      Dans un systeme qui fout a la poubelle a grand coup de regexp tout ce qui n'est pas un chiffre, c'est sur que ca va pas etre trop possible.
                      Ah bah c'est ballot dis donc.
                      Et c'est marrant aussi, c'est tres precisement mon point.

                      Conclusion:
                      1) Je suis un con parce que mon numero de telephone fait 14 chiffres et que fearan n'avait jamais pense a l'existence de standard telephonique avec extension de poste.
                      2) Bien que le numero entre soit 100% valide et doit donc necessairement etre accepte par le systeme, mon numero est perdu a jamais (l'info sur l'extension est perdue, le numero est inutilisable en pratique), et pire que tout, de facon totalement silencieuse, ie personne, que ca soit le client ou le serveur ne vont s'en rendre compte avant d'avoir besoin du numero (ce qui sera trop tard pour corriger le pb). Mais c'est pas grave parce que je suis un con et je devrais m'acheter un cerveau.
  • # Hotmail

    Posté par . Évalué à 3.

    Salut,

    je ne sais pas si vous avez un compte hotmail (j'en ai un uniquement pour msn et j'y vais pour supprimer les pubs microsoft...), mais le bouton "déconnecter" (comprendre de son compte mail) se trouve juste sous son login qui permet d'avoir un menu déroulant.

    Quand je dis juste en dessous, c'est franchement collé. Et c'est super galère à éviter !

    Encore un design à la mord-moi-l'noeud made by microsoft....
    • [^] # Re: Hotmail

      Posté par (page perso) . Évalué à -5.

      "J'en ai un uniquement pour msn et j'y vais pour supprimer les pubs microsoft"

      Je sais pas de quoi tu te justifies mais ta justification est encore pire que rien du tout je trouve.

      "J'ai un compte hotmail".

      - Oui, super. Je vois pas ce qu'on pourrait dire vu que, à ma connaissance, hotmail est un service SMTP compliant donc standard. Ça où gmail.


      "uniquement pour MSN"

      - Là c'est sujet à critiques vu que MSN n'est pas un protocole standard donc généralement on ne s'en vante pas sur linuxfr.

      "j'y vais pour supprimer les pubs"

      - euh.. T'as un compte qui te sert uniquement à recevoir des pubs et tu vas y faire le ménage ???? Je veux bien que ça occupe mais je pense que ton temps pourrait être employé à bien meilleur escient ! Non ?


      J'aime ce sentiment de culpabilité auto-justifiée qui suinte de ton post. Tu es tiraillé entre tes valeurs morales (sinon tu ne te justifierais pas) et ce que tu fais en pratique. C'est un beau cas d'école !
      • [^] # Re: Hotmail

        Posté par . Évalué à 3.

        "j'y vais pour supprimer les pubs"

        - euh.. T'as un compte qui te sert uniquement à recevoir des pubs et tu vas y faire le ménage ???? Je veux bien que ça occupe mais je pense que ton temps pourrait être employé à bien meilleur escient ! Non ?


        Bah oui, certains prestataires suppriment les comptes si tu ne t'y connectes pas pendanx x temps. Donc tant qu'à faire, autant tout sélectionner et supprimer ...
        • [^] # Re: Hotmail

          Posté par (page perso) . Évalué à 1.

          Un compte passport reste ouvert ad vitam et fonctionne pour MSNm même si la composante Hotmail est fermée (et donc les courriels n'arrivent plus).
      • [^] # Re: Hotmail

        Posté par . Évalué à 4.

        Je suis très content d'avoir posté ce commentaire, j'en arrive à comprendre ceux qui te détestent ! (C'est pas un compliment, je reste simplement poli et pas condescendant, tu devrais essayer)

        Merci.

        Tu me juges sans savoir pourquoi j'utilise un compte msn et m'en tartine des tonnes pour rien (à part tenter de paraitre intelligent ? raté) alors que je te soutiens pour dire qu'il y a des design pourris et même pour un bouton utilisé en permanence par les gens qui vont consulter leur boite mail sur hotmail (oui, je m'intéresse aussi aux autres), d'où "mais comment les devs ont fait pour faire ça ?"
        • [^] # Re: Hotmail

          Posté par (page perso) . Évalué à 3.

          "Tu me juges sans savoir pourquoi j'utilise un compte msn"

          Non, je juge le fait que tu te sentes obligé de te justifier là où personne ne t'a rien demandé. Tu aurais parlé du design de hotmail, je pense pas que quelqu'un t'aurait accusé de quoi que ce soit.

          Je pense qu'il y a une grande partie des gens ici qui utilisent MSN et qui s'en foutent. C'est leur droit le plus strict. Mais quand je lis "J'utilises hotmail mais pas pour de vrai hein ? je suis pas à la solde de microsoft, c'est juste pour MSN", je me permet de lancer des piques parce que c'est vrai quoi, c'est une invitation. Avoue que tu l'as bien cherché là ;-)


          "alors que je te soutiens pour dire qu'il y a des design pourris et même pour un bouton utilisé en permanence par les gens qui vont consulter leur boite mail sur hotmail"

          Euhhh... Je pige pas ? Parce que tu es d'accord avec moi sur un point, je n'ai pas le droit de t'embêter sur le fait que tu utilises MSN ? C'est lié ?

          Je reconnais que je suis sorti du sujet. Aussi, excuse moi si tu as pris le message précédent de manière personnelle. Je ne te juge pas "toi", je ne te connais pas, je ne regarde même pas les noms des posteurs. Je juge juste ce message et le comportement qu'il sous-tend (avec une esprit humoristique car je souriais en lisant et en rédigeant mais j'avais pas envie de mettre des smileys). À aucun moment je ne voulais tomber dans l'ad-hominem.
          • [^] # Re: Hotmail

            Posté par . Évalué à 3.

            Je suis susceptible mais pas rancunier, je ne t'en veux donc pas. Surtout quand on s'excuse.

            Pour le coup de la boite hotmail j'aurais bien pris une capture, mais le site est indisponible pour le moment...
            http://img21.imageshack.us/img21/5982/image1sue.png

            Mais en gros, tu as deux images qui se chevauchent, une grosse avec ton login (qui te donne accès à un menu déroulant) et une toute petite qui te permet de te déconnecter. Je ne sais jamais quelle action va s'effectuer.
            • [^] # Re: Hotmail

              Posté par . Évalué à 2.

              Alors j'en sais rien, mais faudrait voir si ça donne le même rendu sur IE (pas que je soupçonne hotmail de ne pas tester leurr plateforme avec d'autres navigateur que les IE, mais presque).

              Sinon, avec un petit coup de edit CSS (extension Firefox) tu dois pouvoir mettre la DIV de l'image indésirée en display:none. Je ne sais pas si on peut definir une CSS locale pour un site en particulier ?
      • [^] # Re: Hotmail

        Posté par . Évalué à 3.

        > à ma connaissance, hotmail est un service SMTP compliant donc standard

        Ah ? Depuis quand ? De mon temps pour avoir un pauvre accès POP, il fallait passer à la caisse ...
        Ca a changé recemment ?
  • # captcha invisible

    Posté par . Évalué à 6.

    Mouai, comme tu le dis ça marche pour les bobots qui visent tout et n'importe quoi. Ton système est quand même beaucoup plus simple à contourner qu'une image. Si le programme sait qu'il ne faut pas toucher à tes champs invisibles, ton système tombe à l'eau. Donc, d'accord, ton système est valable pour un blog lambda au milieu du net. Sûrement pas pour une grosse application web qui pourrait être visé par un programme dédié. Donc non, les captchas ne sont malheureusement pas inutiles.
    • [^] # Re: captcha invisible

      Posté par (page perso) . Évalué à 1.

      Tout le monde me réplique ça et à chaque fois je précise : le champs invisible change toute les semaines ! Mais rien n'empêche de le changer toutes les heures (avec une mémoire tampon d'une heure). Cela signifierait qu'un bot dédié devrait être adapté toutes les heures !!!!

      C'est pour ça que je dis que ça fonctionne et même très bien. J'ai d'ailleurs parfois encore du spam "humain" (des vrais humains qui sont payés pour poster des commentaires) suivis par quelques spams automatisés (qui enregistre et refont ce que le spammer humain à fait). Cela disparait à la fin de la semaine car les champs sont régénérés.

      Je maintiens et je contre maintiens : tant que les bots n'interprêteront pas les CSS, ce système est le plus efficace que je connaisse, même pour un très gros site. C'est "beaucoup" plus efficace qu'un captcha (vu que les bots ont statistiquement un meilleur taux de réussite aux captchas que les êtres humains).

      - Ton système, il pourrait être contourné, il est pas parfait.
      - Oui mais il est meilleur que ce qui est utilisé actuellement, à tout point de vue.
      - Oui mais bon, on y avait pas pensé avant donc ça nous fait du mal de le reconnaître.
      • [^] # Re: captcha invisible

        Posté par . Évalué à 2.

        tu crois vraiment ce que tu dis ?
        N'importe qui peut ecrire un programme afin d'eviter tes <div class="invisible">.
        N'importe qui peut ecrire un programme afin d'eviter tes input ayant les id que tu as généré.

        - Ton système est _trop_ facilement contournable.
        - Oui mais je crois que je vais révolutionner le monde web avec mon idée alors je crois dur comme fer que cela n'est pas vrai.
        • [^] # Re: captcha invisible

          Posté par (page perso) . Évalué à 2.

          "N'importe qui peut ecrire un programme afin d'eviter tes ."

          là, on rentre dans le jeu subtil de la CSS. Car le nom de ma classe est justement changeant. Il faut aller lire dans la CSS. Et ce n'est pas spécialement une propriété invisible, ça peut être aussi une propriété qui affiche le champs sous une image ou avec un décallage de 20.000 pixels sur la droite.


          "N'importe qui peut ecrire un programme afin d'eviter tes input ayant les id que tu as généré."

          Ben non vu qu'ils sont générés aléatoirement. Tu n'as visiblement pas pris la peine de lire ni mon message ni le post sur mon blog.


          Encore une fois, je ne dis pas que c'est une arme ultime. C'est juste meilleur, à tout point de vue, que les captchas.
          • [^] # Re: captcha invisible

            Posté par . Évalué à 2.

            Ce n'est pas parsque tu les génére aléatoirement qu'ils ne sont pas identifiables. D'ailleurs c'est bien cela la caractérisque. Si aujourd'hui je décide d'écrire un programme qui va aller mettre des commentaires sur ton blog (et dans ce cas je ferais en sorte d'éviter tes petits input invisibles), rien ne m'en empeche. Et cela me serait beaucoup plus simple à faire qu'un programme qui doivent analyser une image pour savoir quels caractères sont à renseignés.
            • [^] # Re: captcha invisible

              Posté par (page perso) . Évalué à 2.

              Sauf que comment tu les identifies ? La position dans le HTML ? ça aussi je le change aléatoirement. (note : peut-être pas sur mon blog mais dans un de mes protos, je faisais ça)
              • [^] # Re: captcha invisible

                Posté par . Évalué à 2.

                La question n'est pas vraiment là (par quel moyen technique on va identifier ces fameux champs)

                Mais il est évident que cela est largement facile à réaliser. Tes champs invisibles seront toujours identifiables par rapport aux autres champs. Par un moyen ou un autre. ET je le répète, là n'est pas la question. La vraie question est , est-ce que ton système est assez resistant ? Et désolé de te le dire, la réponse est bien évidemment non.

                Après si tu veux rester convaincu du contraire, d'accord, libre à toi de garder tes oeillères. Mais tu ne fera jamais utiliser ce système pour protéger un gros site.

                Et rassure-toi la position de tes champs n'est pas une information très pertinante.
                • [^] # Re: captcha invisible

                  Posté par (page perso) . Évalué à 2.

                  "La question n'est pas vraiment là (par quel moyen technique on va identifier ces fameux champs)"

                  Ben si, justement.

                  "Tes champs invisibles seront toujours identifiables par rapport aux autres champs. Par un moyen ou un autre."

                  Sans doute mais je ne l'ai pas encore trouvé. Ce n'est donc pas "trivial".

                  "La vraie question est , est-ce que ton système est assez resistant ? Et désolé de te le dire, la réponse est bien évidemment non."

                  Sans doute que non mais il est à priori tout aussi résistant que les captchas et surtout n'a aucun impact sur l'utilisateur (qui est, je le rappelle, largement emmerdé par les captchas).

                  "Mais tu ne fera jamais utiliser ce système pour protéger un gros site."

                  Ce n'est pas la panacée, c'est juste un outil de plus, une barrière de plus pour les robots. Une barrière facile à coder, qui n'embête pas l'utilisateur et qui peut certainement arrêter un nombre non négligeable de spams. Pourquoi s'en priver alors ?

                  Relis ton post et imagine que je défendais les captchas. Tous tes arguments sont tout aussi valides pour les captchas avec le point marquant que les captchas sont *très* embêtants pour les utilisateurs.

                  Les captchas sont en fait un aveux de défaite des programmeurs web sur les robots spammeurs. On transfère le travail sur l'utilisateur, on baisse les bras. Je trouve le principe même des captchas proprement scandaleux (et en plus, ça marche pas).


                  D'ailleurs, je ne prétend pas avoir inventé quoi que ce soit. Je suis certains que la majorité des gros sites sans captchas utilisent des système vaguement similaires (même de loin) mais sont discrets à ce sujet pour ne pas éveiller l'attention des spammers.
                  • [^] # Re: captcha invisible

                    Posté par . Évalué à 2.

                    > Les captchas sont en fait un aveux de défaite des programmeurs web sur les robots spammeurs
                    Le problème, c'est que tu arrêtes tous les robots. Y compris, par exemple si je veux faire un wmploumploum qui me permet de consulter et commenter ton blog en ligne de commande.
                • [^] # Re: captcha invisible

                  Posté par . Évalué à 2.

                  J'ai une super idée pour le convaincre:
                  spamme le avec le code du robot qui t'a permis de le spammer :)
  • # bien vu

    Posté par . Évalué à 1.

    Pour la sécurité j'aime pas les capcha non plus ce que je proposerai:

    utiliser un token dans le formulaire et lier le token avec la session en cours.
    Comme ça c'est transparent pour l'utilisateur, ça limite quand même les bots bourrin.
    En associant à une session on peux limiter le nombre d'envois selon l'ip bon pas super.

    Cela dit faire un bot qui prend le token et l'envois avec le formulaire n'a rien de compliqué, mais ça oblige le bot à télécharger le page, trouver le token avant d'envoyer quoi que ce soit.

    Pour les numéro de téléphones je viens justement de coder une petite fonction qui pour ça, histoire de prendre tout les numéro genre +33 55.56.11.00
    Et une une autre fonction pour changer ça +33 55.56.11.00 -> 003355561100

    Condition pour que ce soit un phone valide : qu'il y ai pas de lettre dedans et qu'il y a 6 chiffre dedans au moins.

    Pour le condition de validation d'une entrée un tooltips qui explique ce qu'il faut entrer lorsque le champ à le focus serai pas mal.

    Après le plus important selon moi c'est que si le formulaire est mal remplis qu'il ne revienne pas vide!!! si il reviens vide je m'enfuis à tout les coup.

    Faut aussi que l'utilisateur ai le temps pour remplir le formulaire, ça sert à rien de limité à 2 minutes.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.