Journal Captcha!

Posté par  (site web personnel) .
Étiquettes : aucune
0
23
avr.
2008
Salut.
En lisant ce journal sur le spam, j'ai repensé à la méthode des 'captchas' utilisés sur les blogs, ces espèces d'images contenant des symboles que l'on demande au posteur d'un message de retaper pour confirmer qu'il est bien un humain (ou au moins quelque chose d'approchant) [1]. J'ai cherché un peu si il y avait des commandes toutes faites qui permettraient de générer des captchas de manière simple ('pour les nuls'), et j'ai pas vu grand chose, donc j'ai essayé de m'y coller.

Ca donne Captcha! [2], un petit programme (400ko chez moi) qui genère une chaine de caractères aléatoires et une image correspondante que l'on peut sauver sous un format quelconque (surtout quand on a ImageMagick d'installé). La chaine réponse est également retournée sur la sortie standard lorsque l'on lance le programme. Quelques options permettent de customiser un peu la bête (lancer avec '-h' pour la liste des options disponibles).

Le programme a très peu de dépendances externes pour fonctionner donc ca devrait pouvoir tourner un peu près partout sans souci. En plus le code est très très court [3] donc peut être facilement repris et adapté si le coeur vous en dit. Voila c'est juste une petite maquette, en fait je voulais juste savoir si ca pouvait servir à quelque chose 'en vrai' ?

Vos avis sont les bienvenus.

[1] http://en.wikipedia.org/wiki/Captcha
[2] Site avec exemples : http://www.greyc.ensicaen.fr/~dtschump/captcha/
[3] Code source : http://cimg.cvs.sourceforge.net/cimg/CImg/examples/captcha.c(...)

  • # ImageMagick

    Posté par  . Évalué à 10.

    Pour les utilisateurs de Fedora, n'oubliez pas d'installer alsa-lib pour pouvoir profiter pleinement de ce programme.

    Hop! ---> [ ]

    • [^] # Re: ImageMagick

      Posté par  (site web personnel) . Évalué à 9.

      Pour les utilisateurs de Fedora et Gnome, attention à la suppression de alsa-lib qui va vous désinstaller Gnome.

      Attend moi ! --> [ ]

    • [^] # Re: ImageMagick

      Posté par  . Évalué à 8.

      je passerai mon chemin car alsa-lib dépend notamment d'eclipse

      Moi, j'ai pas honte, je mme trouve drôle, donc je ne sors pas, je reste sur place

  • # En parlant de captcha, aujourd'hui...

    Posté par  . Évalué à 2.

    sur slashdot, un petit article sur un nouveau type de captcha utilisant la sémantique :
    http://tech.slashdot.org/article.pl?sid=08/04/23/0044223&(...)

  • # Autre type

    Posté par  (site web personnel) . Évalué à 7.

    J'ai vu sur un site (je crois que c'est un site du genre rapidshare) un captcha avec des lettres non déformées et sans couleurs mais avec des petits chiens et chats sur chacune d'elles, et il ne faut entrer que celles contenant par exemple les chats.

    J'ai vraiment apprécié car beaucoup plus lisible.

    S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

    • [^] # Re: Autre type

      Posté par  . Évalué à 4.

      Ça reste vulnérable au traitement automatisé + humain : des sites ou logiciels proposent à leurs utilisateurs d'accéder à du contenu en échange de la résolution de captchas . . .

      • [^] # Re: Autre type

        Posté par  (site web personnel) . Évalué à 6.

        Il y a la technique du site pornographique demandant un captcha pour entrer... or ce captcha vient en fait de yahoo, google, etc.
        http://www.heise-online.co.uk/security/Trojan-tricks-users-i(...)

        Sinon, on peut trouver des petites annonces du genre "décoder 1000 captchas pour 10$" visant les pays où la main d'oeuvre n'est pas chère (ex: philippines). Je n'ai plus d'url sous le coude.

        • [^] # Re: Autre type

          Posté par  . Évalué à 6.

          Si tu pouvais retrouver l'adresse du site, ça m'arrangerait bien, j'ai justement de la main-d'oeuvre pas chère à portée de main.

        • [^] # Re: Autre type

          Posté par  . Évalué à 2.

          Je ne connaissais pas ce genre de pratiques... Mais ce genre d'utilisation reste quand même plutôt limité par rapport à des bots qui vont poster des messages toutes les secondes, non ?

          Et quelles alternatives aux captchas pourraient se révéler plus efficaces ?

          • [^] # Re: Autre type

            Posté par  . Évalué à 2.

            Hélas, je ne vois que les comptes utilisateurs bien surveillés. Même s'ils sont surveillés par un tiers de confiance afin de préserver l'anonymat du posteur vis-à-vis du site qu'il visite.

          • [^] # Re: Autre type

            Posté par  . Évalué à 8.

            Et quelles alternatives aux captchas pourraient se révéler plus efficaces ?

            C'est pas tellement une question d'alternative : les captchas dans ce cas remplissent parfaitement leur rôle. Ils valident le fait que la personne au bout du captcha soit un humain. Et c'est vrai.

            Le truc, ça serait peut-être de poser la question autrement. Que veut-on prouver, en fait? Qu'untel est bien la personne assise devant l'ordinateur connecté à nous? Ou que la personne connectée a des intentions pures?

            Je prétends pas que la chose soit prouvable, mais en tous cas la question n'est peut-être pas "juste" l'appartenance de l'interlocuteur à l'espèce humaine.

    • [^] # Re: Autre type

      Posté par  (site web personnel) . Évalué à 5.

      Je déteste les captchas. C'est très pénible pour l'internaute (genre texte totalement illisible) et ça ne marche pas (cf. autres commentaires). Le test de Turing ne peut pas être fait sur un blog ou un forum (ou disons que les spammeurs sont très malins).

      • [^] # Re: Autre type

        Posté par  (site web personnel) . Évalué à 1.

        C'est vrai que certain captchas sont réellement illisibles et il faut parfois le recharger deux ou trois fois, j'ai vu des sites utilisant d'autres techniques anti-spam approchantes mais beaucoup plus lisibles, je ne sais pas trop leur degrés de securité envers les bots mais j'ai l'impression que pour les petits sites ça fonctionne pas mal dutout.
        J'ai mit quelques exemples sur http://ice-barrier.homelinux.org/all/cap_all.jpg
        Si quelqu'un pouvait m'eclairer sur la fiabilité de ces solutions qui à mon avis ne sont plus trop efficaces si on code un robot exprès pour le site.

      • [^] # Re: Autre type

        Posté par  (site web personnel) . Évalué à 4.

        Et pour les utilisateurs malvoyants c'est un enfer pour certains, et pour les aveugles c'est encore pire (le captcha audio n'est pas toujours présent.)

        Je sais de quoi je parle.

  • # Autre idée

    Posté par  (site web personnel) . Évalué à 10.

    En lisant ce journal sur le Go [https://linuxfr.org/~fleny68/26491.html] j'ai pensé à la méthode du 'Go' utilisé par les chercheurs en intelligence artificielle.

    Il suffit de voir si le posteur arrive à battre l'ordinateur avec un handicap de 9, s'il y arrive, c'est un humain. :-)

    • [^] # Re: Autre idée

      Posté par  . Évalué à 10.

      Ben non, sinon on va voir fleurir des annonces pour les joueurs de go 9 dan dans les pays où la main d'œuvre est bon marché...

  • # Lien erroné

    Posté par  . Évalué à 1.

    Pour info, le lien 2 semble erroné.

    Il se prend pour Napoléon, son état empire.

  • # Utilisation ?

    Posté par  . Évalué à 1.

    L'intérêt d'un captcha est de pouvoir être intégré dans un site web. Là, c'est un programme en C. Comment est-on censé l'utiliser ? En CGI ?

    • [^] # Re: Utilisation ?

      Posté par  . Évalué à 2.

      Avec un system() ?

      • [^] # Re: Utilisation ?

        Posté par  . Évalué à 3.

        Et si, pour des raisons de sécurité, le system est désactivé ou limité ? S'il y a des problèmes de droits d'écriture dans le répertoire de destination ? Je pense qu'un captcha généré en GD reste quand même plus facile à utiliser.

        • [^] # Re: Utilisation ?

          Posté par  (site web personnel) . Évalué à 3.

          Cela dit, tu peux très bien l'utiliser pour pré-générer disons 30000 captchas différents dans un sous répértoire du serveur, avec les fichiers textes 'solutions' correspondants, et ca te permet d'avoir une petite base suffisante de captchas pour une taille faible (les images sont assez petites).
          J'imagine qu'avec un petit script qui va bien, tu peux faire qu'un captcha soit choisi aléatoirement à l'affichage de ta page.

  • # Captcha accessible

    Posté par  (site web personnel) . Évalué à 1.

    J'ai utilisé sur mon blog pendant longtemps un captcha accessible qui posait des questions simplissimes du genre "quelle est la troisième lettre du deuxième mot de la phrase?", "combien font 2+2, en lettres?"
    Pas un spam.

    • [^] # Re: Captcha accessible

      Posté par  (site web personnel) . Évalué à 3.

      Ca ne fonctionne que parce que c'est ton captcha utilisé uniquement chez toi. Parce que calculer la lettre à une certaine position ou faire une opération mathématique les robots peuvent techniquement le faire bien mieux que toi.

      Et parti de ce principe tu n'as même pas besoin de faire faire un calcul ou d'emm* l'utilisateur à repérer la position d'une lettre. Tu peux lui demander "tapes toto dans la case suivante". Tu n'as même pas besoin de changer le terme à taper dynamiquement.

      • [^] # Re: Captcha accessible

        Posté par  . Évalué à 3.

        L'ordi peut certe calculer plus vite que moi, mais encore faut il qu'il comprenne qu'on lui demande de calculer quelque chose. c'est amha sur ça que se base ce type de captcha

        • [^] # Re: Captcha accessible

          Posté par  (site web personnel) . Évalué à 2.

          Sauf que le nombre de type de questions est forcément limitée. Et qu'il est facile de programmer un truc différent pour chaque questions.

        • [^] # Re: Captcha accessible

          Posté par  . Évalué à 5.

          Ce qui ne tient, comme dit plus haut, que parce que le système est peu répandu. Sinon, développer ce qu'il faut pour comprendre la question devient rentable et - presque du même coup - trivial.

    • [^] # Re: Captcha accessible

      Posté par  (site web personnel) . Évalué à 1.

      J'ai ce type de contrôle sur mon blog. Il y a quelques spams qui passent, style 2/3 par semaine. Mais avec un filtre baysien derrière, c'est radical.

  • # mouais

    Posté par  (site web personnel) . Évalué à 4.

    Sauf que quasi tous les captcha sont résolus par des robots.

    Je suis loi de le faire moi-même mais le tiens n'est par exemple probablement pas le plus complexe à casser parce que le "bruit" est constant.

    - On peut déjà enlever tous les points isolés
    - On enlève ensuite tout ce qui ressemble à un arc de cercle de 1px de grosseur de trait et de couleur constante. On devrait certainement arriver à les retirer quasi tous automatiquement.

    Ensuite il ne reste que les lettres+chiffres et leurs déformations de base, qui ne semble pas être énormes par rapports aux autres captcha sur le marché qui sont pourtant déjà cassés.


    Après ça implique que le spammeur fasse un robot spécialement pour toi mais si ce n'est pas le cas tu peux même directement demander "écris toto dans la case suivante" en pur texte sans image, ça fonctionnera aussi.

    • [^] # Re: mouais

      Posté par  (site web personnel) . Évalué à 7.

      Sauf que quasi tous les captcha sont résolus par des robots.

      même celui là ? :)

      http://www.masterthebusiness.com/wp-content/uploads/2008/03/(...)

      • [^] # Re: mouais

        Posté par  (site web personnel) . Évalué à 8.

        Simple : si t'as la bonne réponse, t'es pas humain :)

        S'il y a un problème, il y a une solution; s'il n'y a pas de solution, c'est qu'il n'y a pas de problème.

      • [^] # Re: mouais

        Posté par  (site web personnel) . Évalué à 8.

        0, non ?

        (si mes souvenirs sont bon, d(sin(x))/dx = cos(x)
        4*cos(7*x - pi/2) avec x = 0 -> cos(-pi/2) = 0)

        merde, je dois pas être humain... ;-)
        (par contre, un ordi doit bien pouvoir le faire aussi, non ?)

        • [^] # Re: mouais

          Posté par  (site web personnel) . Évalué à 2.

          oui mais non : d(sin(7x))/dx = 7cos(x).

          Mais t'as de la chance, le coefficient 7 part dans la division par zéro de toutes façons.

          • [^] # Re: mouais

            Posté par  (site web personnel) . Évalué à 2.

            oups, oui, merci pour la correction

            Je me disais bien que c'était pas possible que j'y arrive du premier coup (même si le résultat est le même) ;-)

            • [^] # Re: mouais

              Posté par  . Évalué à 2.

              Bah, de toutes façons, tous les exercices avec des intégrales trigo ont un résultat parmi 0, 1 et π/2…

    • [^] # Re: mouais

      Posté par  (site web personnel) . Évalué à 1.

      Tu n'as pas tort sur certains points.
      Je viens donc de faire une petite modif pour avoir des cercles d'épaisseurs quelconques et des dégradés de couleur dans les lettres.
      Ca me semble un peu plus dur à analyser comme images.

      • [^] # Re: mouais

        Posté par  (site web personnel) . Évalué à 1.

        Un peu plus dur, mais toujours pas assez.
        Les dégradés ça changera probablement rien car la reconaissence se fera sur une image monochrome.
        Et les cercles d'épaisseur quelconque seront encore facile à repérer.

  • # Sexy or not

    Posté par  (site web personnel) . Évalué à 6.

    Le captcha le plus efficace que je connaisse est celui-la :
    http://hotcaptcha.com/

    Il faut trouver quelles sont les 3 photos sexy sur un panel de 9 (il y a une version masculine aussi pour adonai<).

  • # PWNTcha

    Posté par  . Évalué à 4.

    Un truc bon à savoir: Sam Hocevar, sur son site, propose un logiciel de décodage de captha (http://sam.zoy.org/pwntcha/ ); il y donne surtout quelques indications expliquant pourquoi certaines ne sont pas bonnes et d'autres le sont. Ça peut valoir le coup de jeter un oeil?

    • [^] # Re: PWNTcha

      Posté par  . Évalué à 5.

      disons que ça commence maintenant à dater un peu et qu'un russe a fait bien mieux depuis. et a ensuite vendu ses services aux vilains méchants qui codaient des bots, genre ceux qui s'inscrivaient en masse aux forums de type phpBB...

      • [^] # Re: PWNTcha

        Posté par  (site web personnel) . Évalué à 4.

        Sam semblait avoir des scrupules à mettre à disposition son code source bien qu'il défende l'idée que les captchas sont une mauvaise solution. C'est tout à son honneur.
        "Le russe" a eu visiblement moins d'éthique, mais quelque part, c'est peut être un mal pour un bien.
        Je pense aussi que les captchas sont une mauvaise solution. C'est pénible pour l'utilisateur, c'est discriminatoire ( http://linuxfr.org/~dtschump/26513.html#925120 ) , et ca ne fonctionne pas bien ( http://www.cs.sfu.ca/~mori/research/gimpy/ez/ )

        Quand je vois l'efficacité des outils tels que spamassassin ou dspam, je me dis que ca doit tout à fait être transposable aux commentaires des forums. L'apprentissage est très rapide, et diablement efficace.

        Mon message en un mot : cassons les captchas, et trouvons autre chose de mieux ! :P

  • # ASCII Art

    Posté par  . Évalué à 1.

    Plus simplement, on peut aussi générer une chaine de caractère aléatoirement et la passer à banner[1] ou à figlet[2]. Ça fait des capchas lisibles assez facilement. Bon d'accord la protection offerte est plutôt faible mais pour le moment elle reste efficace.

    C'est ce qui est utilisé pour s'enregistrer sur undeadly[3].

    [1] http://www.openbsd.org/cgi-bin/man.cgi?query=banner
    [2] http://www.figlet.org/
    [3] http://undeadly.org/cgi?action=register

    • [^] # Re: ASCII Art

      Posté par  (site web personnel) . Évalué à -2.

      Avec Firefox 3b5 sur OSX.4, j'ai un joli bordel mais absolument rien qui ressemble à 8 lettres/chiffres.... et c'est pas faute de recharger la page. À jeter (non pas Fx ni OSX, du moins pas pour cette raison, mais le captcha).

      • [^] # Re: ASCII Art

        Posté par  . Évalué à 5.

        Euh, même sous lynx ça passe impeccable, c'est pour dire.

        Cela vient d'une police incorrecte pour afficher les champs HTML dans ton navigateur ou alors que pour une raison inconnue il bouffe les espaces alors qu'il ne devrait pas.

        • [^] # Re: ASCII Art

          Posté par  (site web personnel) . Évalué à 0.

          Bof, install par défaut de Firefox (jm'amuse pas à changer les polices), aucun problème ailleurs.
          M'enfin c'est pas grave, mais si le même test ne passait pas sous elinks sur OpenBSD (au moins 0,01% de part de marché) on hurlerait à l'innacessibilité :)

  • # LA SOLUTION

    Posté par  . Évalué à 4.

    Des chercheurs ont trouvé LA solution, LE captcha parfait : http://xkcd.com/233/

  • # Encore un captcha

    Posté par  (site web personnel) . Évalué à 3.

    J'ai trouvé un autre captcha, un peu long à recopier, les risques d'erreurs humaines peuvent être plus fréquent.

    le voilà:

    http://xbright.codingteam.net/dotclear/index.php/post/2008/0(...)

    /me --> []

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # Captcha Donuts

    Posté par  . Évalué à 2.

    Une idée de captcha (sûrement déjà existant ou dénoncé honteusement dans les threads au dessus) :
    Un Captcha bassé sur des images, genre:
    On voit une image d'Homer, en dessous un form avec ecrit: "Mais c'est qui donc ?"
    Bon, ok, pour générer une un captcha aléatoire c'est mort ... mais c'est sûrement mieux que des characters non ? :-)

    • [^] # Re: Captcha Donuts

      Posté par  . Évalué à 3.

      Bah en l'occurence, Homer c'est un character, non ? À moins que tu ne confondes avec «caractère» ;-)

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.