ploum a écrit 5847 commentaires

"La question n'est pas vraiment là (par quel moyen technique on va identifier ces fameux champs)"

Ben si, justement.

"Tes champs invisibles seront toujours identifiables par rapport aux autres champs. Par un moyen ou un autre."

Sans doute mais je ne l'ai pas encore trouvé. Ce n'est donc pas "trivial".

"La vraie question est , est-ce que ton système est assez resistant ? Et désolé de te le dire, la réponse est bien évidemment non."

Sans doute que non mais il est à priori tout aussi résistant que les captchas et surtout n'a aucun impact sur l'utilisateur (qui est, je le rappelle, largement emmerdé par les captchas).

"Mais tu ne fera jamais utiliser ce système pour protéger un gros site."

Ce n'est pas la panacée, c'est juste un outil de plus, une barrière de plus pour les robots. Une barrière facile à coder, qui n'embête pas l'utilisateur et qui peut certainement arrêter un nombre non négligeable de spams. Pourquoi s'en priver alors ?

Relis ton post et imagine que je défendais les captchas. Tous tes arguments sont tout aussi valides pour les captchas avec le point marquant que les captchas sont *très* embêtants pour les utilisateurs.

Les captchas sont en fait un aveux de défaite des programmeurs web sur les robots spammeurs. On transfère le travail sur l'utilisateur, on baisse les bras. Je trouve le principe même des captchas proprement scandaleux (et en plus, ça marche pas).


D'ailleurs, je ne prétend pas avoir inventé quoi que ce soit. Je suis certains que la majorité des gros sites sans captchas utilisent des système vaguement similaires (même de loin) mais sont discrets à ce sujet pour ne pas éveiller l'attention des spammers.

Mes livres CC By-SA : https://ploum.net/livres.html

Sauf que comment tu les identifies ? La position dans le HTML ? ça aussi je le change aléatoirement. (note : peut-être pas sur mon blog mais dans un de mes protos, je faisais ça)

Mes livres CC By-SA : https://ploum.net/livres.html

"N'importe qui peut ecrire un programme afin d'eviter tes ."

là, on rentre dans le jeu subtil de la CSS. Car le nom de ma classe est justement changeant. Il faut aller lire dans la CSS. Et ce n'est pas spécialement une propriété invisible, ça peut être aussi une propriété qui affiche le champs sous une image ou avec un décallage de 20.000 pixels sur la droite.


"N'importe qui peut ecrire un programme afin d'eviter tes input ayant les id que tu as généré."

Ben non vu qu'ils sont générés aléatoirement. Tu n'as visiblement pas pris la peine de lire ni mon message ni le post sur mon blog.


Encore une fois, je ne dis pas que c'est une arme ultime. C'est juste meilleur, à tout point de vue, que les captchas.

Mes livres CC By-SA : https://ploum.net/livres.html

Tout le monde me réplique ça et à chaque fois je précise : le champs invisible change toute les semaines ! Mais rien n'empêche de le changer toutes les heures (avec une mémoire tampon d'une heure). Cela signifierait qu'un bot dédié devrait être adapté toutes les heures !!!!

C'est pour ça que je dis que ça fonctionne et même très bien. J'ai d'ailleurs parfois encore du spam "humain" (des vrais humains qui sont payés pour poster des commentaires) suivis par quelques spams automatisés (qui enregistre et refont ce que le spammer humain à fait). Cela disparait à la fin de la semaine car les champs sont régénérés.

Je maintiens et je contre maintiens : tant que les bots n'interprêteront pas les CSS, ce système est le plus efficace que je connaisse, même pour un très gros site. C'est "beaucoup" plus efficace qu'un captcha (vu que les bots ont statistiquement un meilleur taux de réussite aux captchas que les êtres humains).

- Ton système, il pourrait être contourné, il est pas parfait.
- Oui mais il est meilleur que ce qui est utilisé actuellement, à tout point de vue.
- Oui mais bon, on y avait pas pensé avant donc ça nous fait du mal de le reconnaître.

Mes livres CC By-SA : https://ploum.net/livres.html

"Tu me juges sans savoir pourquoi j'utilise un compte msn"

Non, je juge le fait que tu te sentes obligé de te justifier là où personne ne t'a rien demandé. Tu aurais parlé du design de hotmail, je pense pas que quelqu'un t'aurait accusé de quoi que ce soit.

Je pense qu'il y a une grande partie des gens ici qui utilisent MSN et qui s'en foutent. C'est leur droit le plus strict. Mais quand je lis "J'utilises hotmail mais pas pour de vrai hein ? je suis pas à la solde de microsoft, c'est juste pour MSN", je me permet de lancer des piques parce que c'est vrai quoi, c'est une invitation. Avoue que tu l'as bien cherché là ;-)


"alors que je te soutiens pour dire qu'il y a des design pourris et même pour un bouton utilisé en permanence par les gens qui vont consulter leur boite mail sur hotmail"

Euhhh... Je pige pas ? Parce que tu es d'accord avec moi sur un point, je n'ai pas le droit de t'embêter sur le fait que tu utilises MSN ? C'est lié ?

Je reconnais que je suis sorti du sujet. Aussi, excuse moi si tu as pris le message précédent de manière personnelle. Je ne te juge pas "toi", je ne te connais pas, je ne regarde même pas les noms des posteurs. Je juge juste ce message et le comportement qu'il sous-tend (avec une esprit humoristique car je souriais en lisant et en rédigeant mais j'avais pas envie de mettre des smileys). À aucun moment je ne voulais tomber dans l'ad-hominem.

Mes livres CC By-SA : https://ploum.net/livres.html

"J'en ai un uniquement pour msn et j'y vais pour supprimer les pubs microsoft"

Je sais pas de quoi tu te justifies mais ta justification est encore pire que rien du tout je trouve.

"J'ai un compte hotmail".

- Oui, super. Je vois pas ce qu'on pourrait dire vu que, à ma connaissance, hotmail est un service SMTP compliant donc standard. Ça où gmail.


"uniquement pour MSN"

- Là c'est sujet à critiques vu que MSN n'est pas un protocole standard donc généralement on ne s'en vante pas sur linuxfr.

"j'y vais pour supprimer les pubs"

- euh.. T'as un compte qui te sert uniquement à recevoir des pubs et tu vas y faire le ménage ???? Je veux bien que ça occupe mais je pense que ton temps pourrait être employé à bien meilleur escient ! Non ?


J'aime ce sentiment de culpabilité auto-justifiée qui suinte de ton post. Tu es tiraillé entre tes valeurs morales (sinon tu ne te justifierais pas) et ce que tu fais en pratique. C'est un beau cas d'école !

Mes livres CC By-SA : https://ploum.net/livres.html

"Mais il y a des règles, comme partout, et il faut les respecter, sinon, on te remet sur le droit chemin, comme partout. "

C'est peut-être ton cas mais personnellement, ce n'est pas ma manière de fonctionner. J'avoue, c'est un débat plus philosophique et un peu hors sujet ;-)

Mes livres CC By-SA : https://ploum.net/livres.html

Oui mais c'est ça justement le boulot des développeurs web : faire un formulaire. C'est facile de mettre tout le boulot sur le dos de l'utilisateur sous prétexte que "techniquement, c'est difficile".

Pour paraphraser Thiéfaine : les hommes ont été sur la lune, je ne peux pas croire qu'ils ne puissent pas parser un numéro de téléphone dans un formulaire. Imposer une contrainte sous prétexte de trouver une éventuelle erreur est un non-gain : tu laisseras de toutes façons passer toutes les erreurs "plausibles" (un 0 en trop) et, au contraire, tu risques d'invalider des vrais numéros ! J'ai déjà eu le coup où mon le formulaire avait des exigences de fou dans lesquelles mon numéro ne validait pas. Du coup, j'ai dû, par essai-erreur, trouver une suite aléatoire de chiffre qui était acceptée pour pouvoir remplir le formulaire.

Première règle d'ergonomie : penser comme un utilisateur. Un utilisateur qui se trompe n'en voudra pas au système. Un utilisateur qui est "corrigé" par le système sera, au mieux, légèrement frustré, au pire, ira voir ailleurs.

Et puis comme je dis : toute contrainte, quelle qu'elle soit, doit être explicitée à côté de l'entrée concernée du formulaire !

Mes livres CC By-SA : https://ploum.net/livres.html

ben moi je trouve ça un très bon compromis. La plupart des gens font plus attention à leur mail qu'à un autre compte et il faut bien un moment ou un autre faire "confiance". Pour les données qui ne sont pas ultra-critiques (genre un compte en banque), je trouve que c'est la solution la moins mauvaise : on renvoie un nouveau mot de passe sur l'adresse mail.

Mes livres CC By-SA : https://ploum.net/livres.html

Oui, c'est de là que vient mon coup de gueule. Tout ce que je décris ici au-dessus vient d'un formulaire pour gérer en ligne ma carte VISA corporate...

Mes livres CC By-SA : https://ploum.net/livres.html

Et un simple script qui te renvoie un nouveau mot de passe par mail c'est pas bon ?

Mes livres CC By-SA : https://ploum.net/livres.html

Oui mais même dans ce cas là, à part le facteur fun, quel est l'intérêt ? C'est juste un mot de passe supplémentaire au cas où t'oublierais le premier et là tu indiques qu'il y aie de fortes chances que ce soit un mot trouvable dans le dictionnaire. (et peut-être que tes amis ou d'autres fans du seigneur des anneaux/donjon de naheulbeuk ont leur idée à ce sujet)

Mes livres CC By-SA : https://ploum.net/livres.html

Tu pourrais prévenir avant de mettre ce genre de captures. J'ai les yeux qui saignent là...

Mes livres CC By-SA : https://ploum.net/livres.html

Oui, visiblement ton "." de fin de phrase a été remplacé par 3 lettres aléatoires : "l.o.l". Je ne comprends pas que ce genre de choses échappe à la relecture mais le fait est là.

Mes livres CC By-SA : https://ploum.net/livres.html

Et encore, un jour où il était pas en forme.

Mes livres CC By-SA : https://ploum.net/livres.html

Ouaip, t'as raison. On devrait revenir aux applications en assembleur histoire de montrer qu'on est des vrais ingénieurs, des durs de durs. Non mais, sans blague.

Je vais t'avouer un truc terrible : Mono, comme Java, c'est jamais que du C/C++ simplifié avec les librairies qui vont bien mais c'est toujours du C. Le jour où tu tomberas sur Python, tu vas pleurer et te rendre compte que ton boulot peut être fait par des enfants de la maternelle...

Mes livres CC By-SA : https://ploum.net/livres.html

Tout à fait d'accord : on a toujours le choix. Après, libre à chacun de prendre le choix qui lui convient le mieux (chaque choix ayant des avantages, inconvénients et risques) mais dans nos pays, il n'existe aucune réelle obligation. Tu as tout à fait le droit de ne pas aller travailler si tu n'as pas envie. Et le patron le droit de te virer. Tout n'est qu'une question de choix.

Mes livres CC By-SA : https://ploum.net/livres.html

Autre excellente nouvelle : l'arrivée dans Totem 2.26 (GNOME) d'un plugin Jamendo super bien foutu avec recherche par tag, affichage des covers, etc. Vraiment génial pour découvrir des artistes sur Jamendo !

Mon reproche à Jamendo (parce qu'il faut bien) : la plupart des torrents Ogg (je ne télécharge qu'en Ogg) sont soit vides (y'a personne "seed") soit renvoie une erreur. Du coup, je suis un peu frustré, j'attends 2 albums qui ne viennent pas !

Mes livres CC By-SA : https://ploum.net/livres.html

"Sinon, pour l'ergonomie, quand je code une fonctionnalité, j'essaie toujours de faire en sorte qu'elle soit la plus logique, la plus rapide à utiliser, etc."

Est-ce que tu penses être représentatif de tes utilisateurs ? Je veux dire, je vois mal un programmeur dit le contraire et pourtant il y a des millions de softs anti-ergonomiques et tellement peu de softs vraiment faciles à prendre en main.

Mes livres CC By-SA : https://ploum.net/livres.html

non, ton commentaire était très clair. C'est juste que l'ordre de grandeur est étonnant et la formulation de la nouvelle ne réflète pas cet étonnement. Je me serais attendu alors à "passer de 15.000 à seulement 27 licences payantes" ou "presque complètement supprimer les licences payantes (seules 27 sont encore nécessaires)". Tu vois ce que je veux dire ?

Mes livres CC By-SA : https://ploum.net/livres.html

Ce qui m'a perturbé c'est le chiffre 27. Il est tellement petit comparé à 15.000 que j'ai cru soit à une erreur, soit à une unité de millier (27.000 ? Mais alors, c'est pas une économie) soit à un pourcentage.

Mes livres CC By-SA : https://ploum.net/livres.html

"Les économies réalisées sont sans équivoque 70% soit 50 millions € depuis 2004. Jusqu'à 2004 la Gendarmerie achetait entre 12 000 et 15 000 licences par an. En 2005 ce chiffre est tombé à 27."

Non, décidément, je ne comprends pas du tout cette phrase. 70% de quoi ? 50 millions, sont-ce les 70% ? Qu'est-ce qui est tombé à 27 ? Et 27 quoi ? Ils sont passés de 15.000 licences à 27 ??? (en même temps, si 14.973 licences étaient à 0.1€, c'est pas énorme)

Mes livres CC By-SA : https://ploum.net/livres.html

Oui, c'est voulu. Un héritage automatique n'a pas de sens car du coup tu n'as pas moyen d'avoir une sous-tâche qui n'a PAS un des tags de ses parents.

D'un autre côté, en général, quand tu crées une sous-tâches, il y a des chances qu'elle aie les mêmes tags que ses parents.

Du coup : quand on crée une sous-tâche, on crée des tags par défaut qui sont ceux du parent. Mais l'utilisateur peut les modifier par après si il veut, on ne force pas le modèle.

Cela entraîne que quand tu rajoutes un tag à un parent, ce tag n'est pas propagé.

Mes livres CC By-SA : https://ploum.net/livres.html

Je t'invite à lire :
http://gtg.fritalk.com/post/2009/03/11/Other-tasks-managers-(...)

Mes livres CC By-SA : https://ploum.net/livres.html

Et puis on va après vouloir mettre des flics armés de mitraillettes dans les écoles alors que, statistiquement, ce type de drame est invévitable dans un monde de 7 milliards d'habitants.

Bruce Schneier disait à propos d'une tuerie récente dans une église aux USA qu'il y avait des mesures de sécurité, que les paroissiens avaient été formés et tout le tralala. Mais que voilà, le "security theatre" n'a aucun effet perceptible sur la menace en elle-même.

Mes livres CC By-SA : https://ploum.net/livres.html