J'en ai marre des créateurs de formulaires web. J'ai l'impression que tout est fait pour être le plus stupide possible.
Passons le classique bouton "remettre à zéro" juste à côté de "envoyer". Est-ce qu'une seule personne au monde s'est déjà dit : "oh ben tiens, je voudrais remettre à zéro le formulaire que je viens de mettre 15 minutes à remplir" ? Heureusement, ce truc affreux passe de mode.
Un truc qui reste cependant, ce sont les champs avec des règles imposées mais ces règles ne sont affichées que si tu te trompes une fois. Genre : "Entre ton nouveau mot de passe :" Tu entres "ah ben non, il doit faire 17 caractères dont 3 chiffres et une ponctuation".. Argh ! pouvait pas le dire plus tôt ?
Ou mieux : "Téléphone", tu l'entres avec des points entre les chiffres, genre : "+.32.3.456.678.98" mais non, tu apprends que seuls les chiffres sont autorisés (et tu peux pas retirer les . tous seuls ?)
Le sommet vient avec les captchas. (Je n'arrête pas de dire que c'est inutile pourtant : http://ploum.frimouvy.org/?150-the-invisible-captcha-mechani(...) )
Déjà, 90% des captchas sont quasiment impossibles à lire par un être humain (les robots y arrivent pas mal bien eux). Mais là où c'est splendide c'est qu'un captcha a généralement une durée de vie limitée. Genre il doit s'écouler max 2 minutes entre le moment où le captcha est demandé et le moment où le formulaire est soumis. Comme remplir un formulaire + un captcha en - de 2 minutes n'est pas à ma portée, il est statistiquement 100% certain que chaque formulaire que je remplis va rater au moins une fois ! Ce qui est complètement abhérrant et offre une expérience utilisateur ignoble : designers web, pensez ne fût-ce qu'une seconde que la première chose que vos clients potentiels risquent de voir est un message rouge de refus !
Bref, je me demande combien de "clients" sont perdus à cause de ce genre de choses. Quand je vois combien d'inscriptions j'ai abandonné (et pourtant je suis un geek, je devrais comprendre plus facilement). Moralité: je ne m'inscris plus qu'aux trucs vraiment vraiment indispensables (assurances, cartes de crédit, etc..)
Mais la cerise sur le gâteau reste à mes yeux la toute formidable "question de sécurité". J'avoue que le principe m'échappe complètement. Quel est l'intérêt d'avoir un mot de passe si n'importe qui qui connaît le nom de mon chien ou le nom de jeune fille de ma mère peut accéder à mon compte ? Je veux dire, ce sont les questions les moins secrètes qu'il soit possible d'imaginer ! C'est vraiment complètement stupide, je ne vois pas en quoi ça peut ajouter quoi que ce soit sauf des emmerdes !
Bref, dîtes-moi pour me rassurer que les mecs qui pondent tout ça le fond exprès, par pure méchanceté. Je respecte la méchanceté mais la bêtise me fait peur...
Journal Les créateurs de formulaires sont complètement abrutis...
23
mar.
2009
# pour les questions de sécurités
Posté par fearan . Évalué à 2.
Pendant un temps j'affectionnai particulièrement
«Êtes vous entrés dans la Moria?»
et la réponse n'était pas oui, non, melon, mellon, pastèque, mais un truc auquel la question me faisait penser et que je ne risquai pas d'oublier :D
Mais bon en général c'est vrai que c'est mal foutu...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: pour les questions de sécurités
Posté par ploum (site web personnel, Mastodon) . Évalué à 5.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: pour les questions de sécurités
Posté par fearan . Évalué à 3.
Bf&ZkDtSB
Mes réponses étant à thèmes et différentes selon les sites, avoir des questions secrètes t'orientant sur le thème choisi ça peut aider :D
(Attention je ne me souviens plus forcément de la réponse à la question, mais je peut la retrouver (du moins en théorie) )
Alors qu'un mot de passe perdu, lui n'a aucune chance d'être retrouvé :D
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: pour les questions de sécurités
Posté par 2PetitsVerres . Évalué à 4.
Tous les nombres premiers sont impairs, sauf un. Tous les nombres premiers sont impairs, sauf deux.
[^] # Re: pour les questions de sécurités
Posté par Laurent GUEDON . Évalué à 3.
[^] # Re: pour les questions de sécurités
Posté par FabienC . Évalué à 6.
[^] # Re: pour les questions de sécurités
Posté par fearan . Évalué à 5.
Mais ne rentre toujours pas sur mon compte :P
Ça date de bien avant le donjon, je pense coté année 83-86
Enfin comme je ne me sert plus du compte je peux bien donner des indices :)
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: pour les questions de sécurités
Posté par RB . Évalué à 4.
[^] # Re: pour les questions de sécurités
Posté par mixel . Évalué à 1.
[^] # Re: pour les questions de sécurités
Posté par Bactisme (site web personnel) . Évalué à -1.
EvedlM?
[^] # Re: pour les questions de sécurités
Posté par mixel . Évalué à 1.
[^] # Re: pour les questions de sécurités
Posté par fearan . Évalué à 2.
ça commence par un :
u
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: pour les questions de sécurités
Posté par mixel . Évalué à 1.
# OpenID
Posté par suJeSelS . Évalué à 2.
Pourquoi aussi peu de sites proposent une authentification OpenID qui simplifierait grandement ce genre de problème?
[^] # Re: OpenID
Posté par psychoslave__ (site web personnel) . Évalué à 3.
[^] # Re: OpenID
Posté par Samaty Tramo . Évalué à 2.
[^] # Re: OpenID
Posté par psychoslave__ (site web personnel) . Évalué à 1.
– pas d'authentification : pas d'OpenID
– anti-spam : pas d'OpenID, vu que n'importe qui peu ouvrir un serveur et faire des comptes à spam, encore plus simple pour les spammers
[^] # Re: OpenID
Posté par tfeserver tfe (site web personnel) . Évalué à 3.
[^] # Re: OpenID
Posté par nicko . Évalué à 2.
# sécurité vs facilité
Posté par ®om (site web personnel) . Évalué à 5.
En cours, un prof nous avait dit que c'était simplement parce qu'ils étaient submergés par des clients qui contactaient le service client parce qu'ils avaient perdu leur mot de passe. Du coup, un truc totalement non sécurisé mais qui permet d'éviter d'être harcelé au téléphone / mail, ils ont fait le choix.
blog.rom1v.com
[^] # Re: sécurité vs facilité
Posté par ploum (site web personnel, Mastodon) . Évalué à 8.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: sécurité vs facilité
Posté par blobmaster . Évalué à 1.
être ou paraître...
On peut imaginer que le fait d'ajouter une "question de sécurité" fait passer le message qu'un mot de passe c'est important et que de le perdre n'est pas innocent. Ce à quoi tu pourrais répondre qu'il faudrait mieux l'expliquer dans le message renvoyant le mot de passe, je te répondrai : aussi.
[^] # Re: sécurité vs facilité
Posté par icyfemur . Évalué à 6.
[^] # Re: sécurité vs facilité
Posté par Lomig E . Évalué à 1.
Avec mon compte, on m'a fourni un tableau imprimé sur une carte de crédit (enfin sans puce :P ) personnalisée (un autre client de la banque n'aura pas le même). Le clavier virtuel te permet de rentrer la valeur d'une case du tableau en te donnant son abscisse et son ordonnée.
De plus le dit clavier virtuel comporte plus de touches que de caractères utilisés, et ces caractères sont distribués aléatoirement sur cette grille à chaque session.
Inconvénient de la méthode : Il faut avoir sa petite carte avec soi quand on veut accéder à une opération protégée par ce système. Corollaire : Il ne faut pas perdre sa carte.
[^] # Re: sécurité vs facilité
Posté par psychoslave__ (site web personnel) . Évalué à 4.
[^] # Re: sécurité vs facilité
Posté par icyfemur . Évalué à 5.
Tu veux plutôt dire que ca apporte une impression de sécurité. Mais en réalité c'est du n'importe quoi.
Le "clavier virtuel" et la carte de codes type "touché coulé" ne sont pas forcément liés. Au CMUT, cette carte de code est nécessaire (pour certaines opérations), mais nul besoin de clavier virtuel alakon©.
[^] # Re: sécurité vs facilité
Posté par Lomig E . Évalué à 1.
[ Je déteste le clavier virtuel à cause de l'inconfort qu'il me procure, étant loin d'être un clico-maniaque. ]
Déjà, je ne compose aucun mot de passe sensible avec une personne regardant mon clavier et a fortiori mon écran ; Un tel comportement est à mon sens totalement incompatible avec une quelconque sécurité... Par contre, si le key-loging est possible, je souhaite bonne chance à ceux qui tente de trouver le code *cliqué* de manière aléatoire plutôt que tapé.
De plus, cela permet d'éviter les bots qui rempliraient la case demandant le mot de passe en boucle de manière automatique et exhaustive (même si on s'éloigne d'une recherche par dictionnaire, on reste dans un cas "simple" de 10 chiffres et une poignée de lettres).
Maintenant je me berce peut-être d'illusions, mais dans ce cas, j'aimerais qu'on m'explique où je pêche dans le raisonnement.
[^] # Re: sécurité vs facilité
Posté par Buf (Mastodon) . Évalué à 4.
Suffit de faire une capture de la zone sous le pointeur de la souris, ça a rien de compliqué. Ça rend le keylogger un peu plus lourd et plus compliqué, mais ça n'a rien d'impossible.
De façon plus générale, tant qu'un utilisateur est identifié uniquement par un mot de passe qu'il doit entrer à chaque login, il sera vulnérable à une attaque par keylogger, peu importe la façon dont il va l'entrer. Si on veut augmenter la sécurité, il faut demander une deuxième information, qui change à chaque login (ça peut être aussi simple qu'une liste à biffer)
[^] # Re: sécurité vs facilité
Posté par Lomig E . Évalué à 1.
Après test, du coup, je remarque que les boutons *s'effacent* lors du clic (au click-down) pour se redisposer ensuite (au click-up). C'est suffisant pour parer ce genre de "screenlogger" ?
Quoiqu'il en soit, et contrairement à beaucoup de banque, que ce soit parfait ou non, celle-ci a tenté de penser à tout. (Encore qu'a mon avis un security-token OTP genre SecurID pourrait être l'idéal)
[^] # Re: sécurité vs facilité
Posté par wismerhill . Évalué à 1.
Non, il suffit de faire la capture d'écran 0.1s après le mouse-up.
[^] # Re: sécurité vs facilité
Posté par icyfemur . Évalué à 2.
[^] # Re: sécurité vs facilité
Posté par ✅ ffx . Évalué à 4.
Pas de mot de passe en clair dans les mails.
Je ne comprends pas pourquoi autant de sites font ca...
Dans le mail on donne un lien pour réinitialiser le mot de passe.
[^] # Re: sécurité vs facilité
Posté par Thomas Douillard . Évalué à 1.
Histoire d'éviter qu'un crétin change ton mot de passe dans ton dos et que tu ne puisse plus le changer faute de pouvoir te connecter à ton compte. Au pire tu redemande un nouveau mot de passe, et tu le reçois dans TA boîte mail, pas sur un écran sans aucune trace.
C'est pas ultra secure peut être de le faire en clair, mais bon, on discute de compromis ici ...
[^] # Re: sécurité vs facilité
Posté par FabienC . Évalué à 10.
[^] # Re: sécurité vs facilité
Posté par Thomas Douillard . Évalué à -2.
[^] # Re: sécurité vs facilité
Posté par auve . Évalué à 5.
[^] # Re: sécurité vs facilité
Posté par Thomas Douillard . Évalué à 8.
[^] # Re: sécurité vs facilité
Posté par Zenitram (site web personnel) . Évalué à 2.
Des sites pas trop mauvais (qui comptent sur la sécurité de ton hébergeur de mail, mais qui ne stockent pas ton mot de passe) le font.
Il y a beaucoup de sites mauvais (qui comptent sur la sécurité de ton hébergeur de mail, et qui stockent ton mot de passe en clair)
[^] # Re: sécurité vs facilité
Posté par Buf (Mastodon) . Évalué à 6.
[^] # Re: sécurité vs facilité
Posté par zebra3 . Évalué à 4.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: sécurité vs facilité
Posté par Thomas Douillard . Évalué à 3.
[^] # Re: sécurité vs facilité
Posté par zebra3 . Évalué à 1.
Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur
[^] # Re: sécurité vs facilité
Posté par Thomas Douillard . Évalué à 3.
(quand t'as lu des trucs comme ça, tu t'étonnes plus de rien après)
[^] # Re: sécurité vs facilité
Posté par windu.2b . Évalué à 4.
[^] # Re: sécurité vs facilité
Posté par benoar . Évalué à 2.
[^] # Re: sécurité vs facilité
Posté par tiot (site web personnel) . Évalué à 3.
C'est le site de recrutement du site Safran. Et on ne peut pas dire que c'est un petit gars qui bidouille un forum phpbb…
[^] # Re: sécurité vs facilité
Posté par dyno partouzeur de drouate . Évalué à 2.
[^] # Re: sécurité vs facilité
Posté par neriki (site web personnel) . Évalué à 1.
[^] # Re: sécurité vs facilité
Posté par rewind (Mastodon) . Évalué à 2.
[^] # Re: sécurité vs facilité
Posté par Metzgermeister . Évalué à 2.
[^] # Re: sécurité vs facilité
Posté par Thomas Douillard . Évalué à 0.
[^] # Re: sécurité vs facilité
Posté par Jerome Herman . Évalué à 9.
Malheureux ! Ton lien passe en clair dans les mails ! C'est comme si tu donnais le mot de passe en clair puisque tu donnes en clair le moyen de le changer.
Non la VRAIE solution c'est un lien vers le lien qui permet de réinitialiser le mote de passe !
(Ok je sors)
[^] # Re: sécurité vs facilité
Posté par Zenitram (site web personnel) . Évalué à 2.
Super.
Comme ça, la sécurité de ton site dépend de la sécurité de l'hébergeur mail de tes clients.
Et malheureusement, beaucoup de site, même "sensibles", le font... Grrrr... Sécurité bof du coup (et aléatoire).
[^] # Re: sécurité vs facilité
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: sécurité vs facilité
Posté par Yusei (Mastodon) . Évalué à 6.
Et ça ne me renvoie pas le MDP par email, hein, ça le change illico, sans confirmation.
[^] # Re: sécurité vs facilité
Posté par ploum (site web personnel, Mastodon) . Évalué à 5.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: sécurité vs facilité
Posté par psychoslave__ (site web personnel) . Évalué à 5.
[^] # Re: sécurité vs facilité
Posté par psychoslave__ (site web personnel) . Évalué à 2.
% apg -a 1 -m 45
zMVxDFxx~]^27TEx.1,W6pm!Fo$HO:/U8nm#apR%Y3l-S
+TJ\g6>blZ2tcKqTwnxTR8bBQ]2W9GkKhyQ.w>$`El74L
GdkJ:}q(C[kWb/"Qf.&B/UP%U<O-@25C&(MIZXWIc]/ct
\QvV+B3r}zp?[}Zg/"DUr_M-"L}_Tr`-ERrL[4emd7;@}
mGDFk0z%P{Sc"g-)s%O2Bg=l?83C4&Q1@3Mvy8S4tmdZ,
aH\bq^H>g:pd:v4r)gCXxdQ3tQ[{>,jdpD1jyO'G$7u`3
% #8 caractères minimum par défaut
% apg -a 1
}P`L0MU>\
Z2^,Li`rb
WI&@L{15h
iM%K(Rd#$
HfHkw6Vn)
c1UJFu^_z
Et vous ?
[^] # Re: sécurité vs facilité
Posté par Croconux . Évalué à 6.
Expérience vécue avec mon FAI Ce***el. Lors de mon inscription, j'avais choisi un mot de passe suffisamment solide (lettres + chiffres + caractères divers). Pas de bol, ils ont été rachetés par N**f qui du coup à refait toute l'interface web d'administration. Et forcément, le nouveau formulaire ne laisse passer que les chiffres et les lettres (probablement pour se protéger d'attaques type XSS ou injection). Quand j'entre mon mot de passe, il me dit qu'il est invalide sauf qu'il est bien valide puisque je peut toujours me connecter avec. Idem pour le mot de passe de la messagerie. Je peux récupérer mes mails... mais par les lire via le webmail ("mot de passe invalide"). Lors de la migration, il aurait quand même été judicieux de se poser la question des contraintes qui étaient imposées chez l'un et l'autre.
[^] # Re: sécurité vs facilité
Posté par Yusei (Mastodon) . Évalué à 2.
[^] # Re: sécurité vs facilité
Posté par psychoslave__ (site web personnel) . Évalué à 2.
% apg
NorWemheph
gedLobby
DidBeshict
phottyou
muagbaheit
nedJijHyn
[^] # Re: sécurité vs facilité
Posté par imalip . Évalué à 10.
http://xkcd.com/327/
# confirmer le mail
Posté par Adrien . Évalué à 5.
votre mail :
confirmation de votre adresse mail :
vu sur voyage-sncf entre autres, mais ça devient à la mode je crois…
[^] # Re: confirmer le mail
Posté par rewind (Mastodon) . Évalué à 10.
[^] # Re: confirmer le mail
Posté par dinomasque . Évalué à -2.
Dans le cas d'un site commercial, ça permet de s'assurer que les reçus atterriront bien dans la messagerie du client.
BeOS le faisait il y a 20 ans !
[^] # Re: confirmer le mail
Posté par fcartegnie . Évalué à 3.
Non, à l'origine la RFC specifie la commande SMTP "VRFY".
Or cette commande est généralement désactivée pour éviter aux spammers de justement vérifier leurs adresses générées.
[^] # Re: confirmer le mail
Posté par thedude . Évalué à 2.
Le fait que l'adresse email existe effectivement ne veut pas dire qu'elle est bien celle de la personne qui a rempli le formulaire.
[^] # Re: confirmer le mail
Posté par Zenitram (site web personnel) . Évalué à 1.
Peux-tu me dire par quelle magie tu fais d'un copier-coller un correcteur d'adresse mail?
Bon, OK, j'imagine que tout le monde ne fait pas de copier-coller... Mais est-ce vraiment garanti qu'il y a x% (combien x?) qui ne fait pas de copier-coller?
[^] # Re: confirmer le mail
Posté par claudex . Évalué à 2.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: confirmer le mail
Posté par coco54 . Évalué à 10.
[^] # Re: confirmer le mail
Posté par wismerhill . Évalué à 2.
ça va plus vite que de retaper l'adresse email.
[^] # Re: confirmer le mail
Posté par Adrien . Évalué à 2.
[^] # Re: confirmer le mail
Posté par claudex . Évalué à 2.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: confirmer le mail
Posté par Troy McClure (site web personnel) . Évalué à 4.
[^] # Re: confirmer le mail
Posté par Thomas Debesse (site web personnel) . Évalué à 1.
ce commentaire est sous licence cc by 4 et précédentes
[^] # Re: confirmer le mail
Posté par Yusei (Mastodon) . Évalué à 4.
[^] # Re: confirmer le mail
Posté par e-t172 (site web personnel) . Évalué à 1.
[^] # Re: confirmer le mail
Posté par Adrien . Évalué à 1.
Si on mets un troisième champs vérification de la vérification de l’email ça sera trois fois mieux c’est ça ?
[^] # Re: confirmer le mail
Posté par thedude . Évalué à 2.
Verifier que l'adresse existe bien n'est pas suffisant, si la faute de frappe te donnes un mail qui existe aussi.
Genre martin75@hotmail.fr orthographie martin57@hotmail.com. Ou encore martin75@hotmaiol.com (sisi, le domain existe, je viens de verifier, par contre le faites pas au boulot, ya des madames toutes nues dessus).
C'est sur que si tu copies/colles, ca sert pas a grand chose.
Je le fait perso parce que j'aime pas taper les @, mais je verifie moi meme avec mes pitits noeinoeils que j'ai pas fait de fautes.
[^] # Re: confirmer le mail
Posté par Pascal Terjan (site web personnel) . Évalué à 6.
Et bien non au contraire.
Quand je tape 2 fois de suite la même chose mes mains répétent le mouvement et je refais la même faute, ca m'est déjà arrivé et depuis je fais des copier/coller vu que ça ne sert à rien.
[^] # Re: confirmer le mail
Posté par Adrien . Évalué à 10.
Au départ il me semble que le champs « vérification » était réservé aux mots de passe cas on ne pouvais pas visuellement vérifier qu’on avait taper le bon… ce qui est compréhensible.
Mais mettre deux champs car l’utilisateur ne sait pas se relire, j’appelle ça le prendre pour un idiot.
[^] # Re: confirmer le mail
Posté par Littleboy . Évalué à 2.
[^] # Re: confirmer le mail
Posté par jemore . Évalué à 5.
Vraiment débile cette manie de vouloir confirmer son adresse email en la resaisissant...
# a propos du captcha
Posté par Anonyme . Évalué à 1.
c'est en bas a droite : Inscrivez ce code ici
http://www.megaupload.com/?c=signup
en plus cela me parait pas trop dur a casser de maniere logiciel
[^] # Re: a propos du captcha
Posté par Vador Dark (site web personnel) . Évalué à 2.
Sinon, ce site à l'air pas mal. Ils ont l'air de proposer un espace de stockage de 200Gb gratuit, et Illimité payant. Tu l'utilises? Ca fonctionne bien?
[^] # Re: a propos du captcha
Posté par Anonyme . Évalué à 2.
[^] # Re: a propos du captcha
Posté par Sébastien B. . Évalué à 5.
[^] # Re: a propos du captcha
Posté par auve . Évalué à 4.
Je crois que c'était le système de CAPTCHA (catchat ?) le plus pénible qu'il m'ait été donné de rencontrer ; en moyenne je recommençais largement plus de cinq fois à chaque téléchargement !
# t'es dur
Posté par coco54 . Évalué à 1.
Pour le mot de passe, c'est sur que si tu choisis "toto" comme mot de passe, tu cherches un peu. Tu devrais être un utilisateur averti et utiliser des mots de passe un poil compliqué. Dans ce cas là, tu n'aurais pas eu d'erreur.
Pour le téléphone, là, tu pousses, aucuns formulaires à ma connaissance ne demande autre chose qu'une suite de chiffres ou de lettres pour un numéro de téléphone.
Mais effectivement, sur des sites pensé par des personnes ayant quelques notions d'ergonomie, il doit être affiché sur la page ce que l'on attend de l'utilisateur pour chaque champs d'un formulaire.
Le captcha est effectivement une plaie, mais les bots aussi. Et c'est évidement un compromis bien difficile pour un développeur web. Entre les images illisibles et inaccessible où les questions du genre "2 + 2 =".
Pour finir, "les questions qui tue", n'importes qui de pas trop neu-neu, donnera une réponse dont il est sûr de se souvenir mais ne renseignera jamais "médor" si il choisi "quel est le nom de votre chien".
ça me rappelle d'ailleurs une anecdote qui circulait quand je faisais de la hotline chez un FAI pendant l'été 2001. Les questions secrètes pouvaient être choisies. Un abonné avait choisi la question "Quelle est la fille la plus conne du monde ?" réponse "Laure" en référence au premier loft story.
[^] # Re: t'es dur
Posté par thedude . Évalué à 1.
C'est typiquement le genre de trucs que tu veux formatter pour le presenter au client ( genre (area code) 111 2222 aux us, 01 23 45 67 89 en france etc), donc des points chez l'un, des tirets chez l'autre, des slash ailleurs...
Paye ta galere.
Dur aussi de stripper des bouts de chaines automatiquement.
Peut etre que ton utilisateur s'est tout simplement gourre dans la chaine saisie. Et tu veux pouvoir lui dire.
Peut etre que ce qui vient apres le point, c'est son extension sur son numero perso.
Au final, t'es plus ou moins oblige d'imposer un format strict, le plus simple etant +3chiffres optionel (pays) suivi de numero, separes ou nom par des espaces, suivi de x 5 chiffres optionel pour une eventuelle extension.
[^] # Re: t'es dur
Posté par Larry Cow . Évalué à 4.
C'est pourtant pas compliqué : à l'exception du + (et de l'étoile, si on veut être exhaustif), tous les caractères non-numériques sont à ignorer : un clavier de téléphone "de base" ne sait pas les reproduire de toutes manières. Des validations d'entrées aussi bateaux, j'en veux bien tous les jours...
[^] # Re: t'es dur
Posté par thedude . Évalué à 1.
Tout simplement parce que ca peut parfaitement etre une grosse erreur de saisie de l'utilisateur, que tu auras par chance 7 a 10 chiffes dans ton machin, et tu veux lui signaler.
Si ces caracteres ne sont pas valides pour un numero de telephone, tu dois les interdire.
Quand au format strict international, on peut pas vraiment dire qu'il existe.
Les francais ecrivent les numeros par paires de chiffres, sauf dans le cas du numero international ou tu droppes le premier 0.
Les ricains ont un (123) 123-1234 ou le premier 123 est optionnel et doit etre entre parenthese si indique. L'optionnel est parce que l'area code est falcutatif si tu appelles de l'area en question (comme si le 01 etait optionnel pour appeler paris depuis paris).
Je ne doute pas qu'il ya une proportion non negligeable qui groupe par 3, certains pays ont tout juste 8 chiffres, c'est un bordel sans nom.
Si en plus on doit commencer a deviner que l'utilisateur separe par des points, des slashs, des dash ou que sais je encore, on s'en sort plus.
Demander 10 chiffres a la suite est tres pratique, ca permet de formatter simplement et correctement le numero apres coup en etant sur de pas ruiner l'info entree par le client.
Virer les espaces est a la rigueur faisable (encore que, faut faire gaffe a l'indicatif international), mais le reste peut etre dangereux.
[^] # Re: t'es dur
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
Pour paraphraser Thiéfaine : les hommes ont été sur la lune, je ne peux pas croire qu'ils ne puissent pas parser un numéro de téléphone dans un formulaire. Imposer une contrainte sous prétexte de trouver une éventuelle erreur est un non-gain : tu laisseras de toutes façons passer toutes les erreurs "plausibles" (un 0 en trop) et, au contraire, tu risques d'invalider des vrais numéros ! J'ai déjà eu le coup où mon le formulaire avait des exigences de fou dans lesquelles mon numéro ne validait pas. Du coup, j'ai dû, par essai-erreur, trouver une suite aléatoire de chiffre qui était acceptée pour pouvoir remplir le formulaire.
Première règle d'ergonomie : penser comme un utilisateur. Un utilisateur qui se trompe n'en voudra pas au système. Un utilisateur qui est "corrigé" par le système sera, au mieux, légèrement frustré, au pire, ira voir ailleurs.
Et puis comme je dis : toute contrainte, quelle qu'elle soit, doit être explicitée à côté de l'entrée concernée du formulaire !
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: t'es dur
Posté par Romeo . Évalué à 4.
[^] # Re: t'es dur
Posté par coco54 . Évalué à 2.
Après tu as des gens au-dessus du développeur qui lui demande plutôt de mettre une pub en flash à la place d'une aide pour le formulaire par exemple.
Donc, on est bien d'accord qu'un formulaire web est tout aussi chiant à remplir qu'un formulaire de déclaration d'impôts. Mais il y a des règles, comme partout, et il faut les respecter, sinon, on te remet sur le droit chemin, comme partout.
[^] # Re: t'es dur
Posté par ploum (site web personnel, Mastodon) . Évalué à 1.
C'est peut-être ton cas mais personnellement, ce n'est pas ma manière de fonctionner. J'avoue, c'est un débat plus philosophique et un peu hors sujet ;-)
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: t'es dur
Posté par thedude . Évalué à 1.
Donnes moi un moyen fiable de stripper les caracteres illegaux dans ton numero de telephone (d'un autre cote, c'est quoi cette manie de mettre des points dans un numero de telephone?), tout en detectant les erreurs, et si possible sans prendre 2Mo de source, parce que bon, on a autre chose a foutre que de parser des numeros de telephone, comme par exemple ecrire une application metier qui rend un service.
Sincerement.
Et pour les mails, on fait pareil? Tu dumpes aussi tous les caracteres illegaux, quitte a accepter une chaine erronee?
Idem pour les dates, avec ces relous d'anglophones qui notent mm/dd/yyyy, on se retrouve a forcer un format tres precis.
Et qu'est ce qui va se passer apres? On a ploum qui va se gourrer, rentrer par erreur 19.01.2009 10:15 et faire un journal pour se plaindre que le formulaire ne l'a pas averti et que son numero de telephone est maintenant +19 01 20 09 10 15
Quand a ne pas accepter de numeros valide, je me demande bien comment ma regexp (+\d{3})? \d{7,10}(x\d{1,5})? peut donner un faux negatif...
Ta remarque revient un peu au meme que de se plaindre que gcc te dit "missing ; at end of line". Il peut pas les rajouter lui aussi?
Ben non, il peut pas, parce que c'est une erreur et que le systeme n'a pas a deviner ce que t'as voulu dire.
Il se contente de te dire que l'entree n'est pas valide, le probleme se trouve la, a toi d'expliciter ta pensee.
[^] # Re: t'es dur
Posté par fearan . Évalué à 4.
voila :D
chaine =~ /[^0-9]//g
#ensuite tu peux vérifier la longueur
if ( chaine =~ /[0-9]{10}/ ) {}
Sincèrement c'est 2 lignes alors pourquoi ne pas faire ça, pour les points, certains espacent des chiffres avec un caractère ' ', d'autre des '-', et certains des '_'. Ensuite relire une suite de 10 chiffres c'est plus difficile que des chiffres groupés par 2 ou 3, et il y a moins de chance d'avoir une erreur comme cela.
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: t'es dur
Posté par thedude . Évalué à 1.
comment tu fait pour detecter le fait que 10.JAN.2009 10:15 n'est pas un numero de telephone valide?
Et qu'est ce qu'il se passe si tu rentres +33 0123456789?
tu finis avec 330123456789, ce qui est errone.
Ou encore +1(310)1234567x405, tu perds l'extension.
Plutot moyen, non?
Sincèrement c'est 2 lignes alors pourquoi ne pas faire ça
Pourquoi?
Parce que tu ne prend plus un numero de telephone, mais une chaine de texte libre.
Pourquoi ne pas faire ca pour les emails aussi?
et les mots de passe? On strippe tous les caracteres illegaux et on ne dit rien a l'utilisateur!!
Sincerement, tu vois pas le probleme qu'il ya a dans ce que tu fais?
Tu jettes toute la validation semantique de ton input a la poubelle...
[^] # Re: t'es dur
Posté par fearan . Évalué à 3.
Le but est de simplifier la vie de l'utilisateur, si tu veux limiter le n° de téléphone à 10 chiffres, tu fais
if( /^[0-9]{10}$/ )
si tu veux permettre l'international
il vaut mieux faire au début
/(?:\(?\+?([0-9]{2})\)?)?\s*((?:[0-9].*){10})$/
($inter, $no)=$1,$2;
$no=~ s/[^0-9]//g;
if( $no=~ /^[0-9]{10}$/ )
quant à ton
+1(310)1234567x405
1) je n'ai jamais vu ce type de n° de téléphone (et je le compose comment su le mien?
2) je doute qu'il passe dans les systèmes actuels
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: t'es dur
Posté par thedude . Évalué à 0.
Mais ca ne t'assure de rien ca... Surtout apres avoir strippe la moitie de ta chaine aveuglement.
Les numeros peuvent faire de 7 a 12 chiffres ( 7 = US en local, 12 = pays a 10chiffres + indicatif), plus une extension qui peut aller jusqu'a 4 ou 5 chiffres. 5 chiffres, ca laisse beaucoup de marge pour se ramasser.
La longueur de la chaine ne t'apporte quasiment rien comme info.
si l'utilisateur veux rentrer n'importe quoi comme n° de téléphone c'est un cerveau qu'il devrai s'acheter.
Certes, mais je n'en vends pas, donc je ne peux pas lui en fournir, je doit donc faire avec sa connerie.
Traiter l'utilisateur d'abruti, c'est ptetre reconfortant pour ton qi, mais c'est pas tres constructif.
Ah oui, et aussi, c'est pour ca qu'on valide les formulaires en premier lieu, parce que les utilisateurs etant humain, meme les plus intelligents d'entre eux font ce qu'on appelle des erreurs.
Un truc qui est cense etre humain.
Les erreurs de saisies, ca existe. copier coller un numero depuis son agenda, et se gourrer sur le champs ou sur le copier, c'est possible. Et sans etre le dernier des abrutis.
Meme si l'utilisateur est un abruti, ben faut faire avec, ca fait partie des contraintes. Et du boulot.
quant à ton
+1(310)1234567x405
1) je n'ai jamais vu ce type de n° de téléphone (et je le compose comment su le mien?
Tu ne l'as peut etre jamais vu, mais c'est mon numero du boulot. 'fin pas le 123456 evidemment, mais c'est comme ca qu'il est marque sur ma carte de visite.
+1 US
(310) area code west LA
123456 numero local
x405 numero de poste, que tu composes une fois que le standard automatique a decroche.
Tu le composes sur ton telephone comme n'importe quel autre.
2) je doute qu'il passe dans les systèmes actuels
Ca depend du systeme.
Dans un systeme qui fout a la poubelle a grand coup de regexp tout ce qui n'est pas un chiffre, c'est sur que ca va pas etre trop possible.
Ah bah c'est ballot dis donc.
Et c'est marrant aussi, c'est tres precisement mon point.
Conclusion:
1) Je suis un con parce que mon numero de telephone fait 14 chiffres et que fearan n'avait jamais pense a l'existence de standard telephonique avec extension de poste.
2) Bien que le numero entre soit 100% valide et doit donc necessairement etre accepte par le systeme, mon numero est perdu a jamais (l'info sur l'extension est perdue, le numero est inutilisable en pratique), et pire que tout, de facon totalement silencieuse, ie personne, que ca soit le client ou le serveur ne vont s'en rendre compte avant d'avoir besoin du numero (ce qui sera trop tard pour corriger le pb). Mais c'est pas grave parce que je suis un con et je devrais m'acheter un cerveau.
# Hotmail
Posté par polytan . Évalué à 3.
je ne sais pas si vous avez un compte hotmail (j'en ai un uniquement pour msn et j'y vais pour supprimer les pubs microsoft...), mais le bouton "déconnecter" (comprendre de son compte mail) se trouve juste sous son login qui permet d'avoir un menu déroulant.
Quand je dis juste en dessous, c'est franchement collé. Et c'est super galère à éviter !
Encore un design à la mord-moi-l'noeud made by microsoft....
[^] # Re: Hotmail
Posté par ploum (site web personnel, Mastodon) . Évalué à -5.
Je sais pas de quoi tu te justifies mais ta justification est encore pire que rien du tout je trouve.
"J'ai un compte hotmail".
- Oui, super. Je vois pas ce qu'on pourrait dire vu que, à ma connaissance, hotmail est un service SMTP compliant donc standard. Ça où gmail.
"uniquement pour MSN"
- Là c'est sujet à critiques vu que MSN n'est pas un protocole standard donc généralement on ne s'en vante pas sur linuxfr.
"j'y vais pour supprimer les pubs"
- euh.. T'as un compte qui te sert uniquement à recevoir des pubs et tu vas y faire le ménage ???? Je veux bien que ça occupe mais je pense que ton temps pourrait être employé à bien meilleur escient ! Non ?
J'aime ce sentiment de culpabilité auto-justifiée qui suinte de ton post. Tu es tiraillé entre tes valeurs morales (sinon tu ne te justifierais pas) et ce que tu fais en pratique. C'est un beau cas d'école !
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Hotmail
Posté par totof2000 . Évalué à 3.
- euh.. T'as un compte qui te sert uniquement à recevoir des pubs et tu vas y faire le ménage ???? Je veux bien que ça occupe mais je pense que ton temps pourrait être employé à bien meilleur escient ! Non ?
Bah oui, certains prestataires suppriment les comptes si tu ne t'y connectes pas pendanx x temps. Donc tant qu'à faire, autant tout sélectionner et supprimer ...
[^] # Re: Hotmail
Posté par Sufflope (site web personnel) . Évalué à 1.
[^] # Re: Hotmail
Posté par polytan . Évalué à 4.
Merci.
Tu me juges sans savoir pourquoi j'utilise un compte msn et m'en tartine des tonnes pour rien (à part tenter de paraitre intelligent ? raté) alors que je te soutiens pour dire qu'il y a des design pourris et même pour un bouton utilisé en permanence par les gens qui vont consulter leur boite mail sur hotmail (oui, je m'intéresse aussi aux autres), d'où "mais comment les devs ont fait pour faire ça ?"
[^] # Re: Hotmail
Posté par ploum (site web personnel, Mastodon) . Évalué à 3.
Non, je juge le fait que tu te sentes obligé de te justifier là où personne ne t'a rien demandé. Tu aurais parlé du design de hotmail, je pense pas que quelqu'un t'aurait accusé de quoi que ce soit.
Je pense qu'il y a une grande partie des gens ici qui utilisent MSN et qui s'en foutent. C'est leur droit le plus strict. Mais quand je lis "J'utilises hotmail mais pas pour de vrai hein ? je suis pas à la solde de microsoft, c'est juste pour MSN", je me permet de lancer des piques parce que c'est vrai quoi, c'est une invitation. Avoue que tu l'as bien cherché là ;-)
"alors que je te soutiens pour dire qu'il y a des design pourris et même pour un bouton utilisé en permanence par les gens qui vont consulter leur boite mail sur hotmail"
Euhhh... Je pige pas ? Parce que tu es d'accord avec moi sur un point, je n'ai pas le droit de t'embêter sur le fait que tu utilises MSN ? C'est lié ?
Je reconnais que je suis sorti du sujet. Aussi, excuse moi si tu as pris le message précédent de manière personnelle. Je ne te juge pas "toi", je ne te connais pas, je ne regarde même pas les noms des posteurs. Je juge juste ce message et le comportement qu'il sous-tend (avec une esprit humoristique car je souriais en lisant et en rédigeant mais j'avais pas envie de mettre des smileys). À aucun moment je ne voulais tomber dans l'ad-hominem.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: Hotmail
Posté par polytan . Évalué à 3.
Pour le coup de la boite hotmail j'aurais bien pris une capture, mais le site est indisponible pour le moment...
http://img21.imageshack.us/img21/5982/image1sue.png
Mais en gros, tu as deux images qui se chevauchent, une grosse avec ton login (qui te donne accès à un menu déroulant) et une toute petite qui te permet de te déconnecter. Je ne sais jamais quelle action va s'effectuer.
[^] # Re: Hotmail
Posté par Guillaume Rossignol . Évalué à 2.
Sinon, avec un petit coup de edit CSS (extension Firefox) tu dois pouvoir mettre la DIV de l'image indésirée en display:none. Je ne sais pas si on peut definir une CSS locale pour un site en particulier ?
[^] # Re: Hotmail
Posté par Calve . Évalué à 3.
Ah ? Depuis quand ? De mon temps pour avoir un pauvre accès POP, il fallait passer à la caisse ...
Ca a changé recemment ?
[^] # Re: Hotmail
Posté par Adrien . Évalué à 2.
[^] # Re: Hotmail
Posté par Sufflope (site web personnel) . Évalué à 3.
[^] # Re: Hotmail
Posté par KiKouN . Évalué à 5.
# captcha invisible
Posté par coco54 . Évalué à 6.
[^] # Re: captcha invisible
Posté par ploum (site web personnel, Mastodon) . Évalué à 1.
C'est pour ça que je dis que ça fonctionne et même très bien. J'ai d'ailleurs parfois encore du spam "humain" (des vrais humains qui sont payés pour poster des commentaires) suivis par quelques spams automatisés (qui enregistre et refont ce que le spammer humain à fait). Cela disparait à la fin de la semaine car les champs sont régénérés.
Je maintiens et je contre maintiens : tant que les bots n'interprêteront pas les CSS, ce système est le plus efficace que je connaisse, même pour un très gros site. C'est "beaucoup" plus efficace qu'un captcha (vu que les bots ont statistiquement un meilleur taux de réussite aux captchas que les êtres humains).
- Ton système, il pourrait être contourné, il est pas parfait.
- Oui mais il est meilleur que ce qui est utilisé actuellement, à tout point de vue.
- Oui mais bon, on y avait pas pensé avant donc ça nous fait du mal de le reconnaître.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: captcha invisible
Posté par coco54 . Évalué à 2.
N'importe qui peut ecrire un programme afin d'eviter tes <div class="invisible">.
N'importe qui peut ecrire un programme afin d'eviter tes input ayant les id que tu as généré.
- Ton système est _trop_ facilement contournable.
- Oui mais je crois que je vais révolutionner le monde web avec mon idée alors je crois dur comme fer que cela n'est pas vrai.
[^] # Re: captcha invisible
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
là, on rentre dans le jeu subtil de la CSS. Car le nom de ma classe est justement changeant. Il faut aller lire dans la CSS. Et ce n'est pas spécialement une propriété invisible, ça peut être aussi une propriété qui affiche le champs sous une image ou avec un décallage de 20.000 pixels sur la droite.
"N'importe qui peut ecrire un programme afin d'eviter tes input ayant les id que tu as généré."
Ben non vu qu'ils sont générés aléatoirement. Tu n'as visiblement pas pris la peine de lire ni mon message ni le post sur mon blog.
Encore une fois, je ne dis pas que c'est une arme ultime. C'est juste meilleur, à tout point de vue, que les captchas.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: captcha invisible
Posté par coco54 . Évalué à 2.
[^] # Re: captcha invisible
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: captcha invisible
Posté par coco54 . Évalué à 2.
Mais il est évident que cela est largement facile à réaliser. Tes champs invisibles seront toujours identifiables par rapport aux autres champs. Par un moyen ou un autre. ET je le répète, là n'est pas la question. La vraie question est , est-ce que ton système est assez resistant ? Et désolé de te le dire, la réponse est bien évidemment non.
Après si tu veux rester convaincu du contraire, d'accord, libre à toi de garder tes oeillères. Mais tu ne fera jamais utiliser ce système pour protéger un gros site.
Et rassure-toi la position de tes champs n'est pas une information très pertinante.
[^] # Re: captcha invisible
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
Ben si, justement.
"Tes champs invisibles seront toujours identifiables par rapport aux autres champs. Par un moyen ou un autre."
Sans doute mais je ne l'ai pas encore trouvé. Ce n'est donc pas "trivial".
"La vraie question est , est-ce que ton système est assez resistant ? Et désolé de te le dire, la réponse est bien évidemment non."
Sans doute que non mais il est à priori tout aussi résistant que les captchas et surtout n'a aucun impact sur l'utilisateur (qui est, je le rappelle, largement emmerdé par les captchas).
"Mais tu ne fera jamais utiliser ce système pour protéger un gros site."
Ce n'est pas la panacée, c'est juste un outil de plus, une barrière de plus pour les robots. Une barrière facile à coder, qui n'embête pas l'utilisateur et qui peut certainement arrêter un nombre non négligeable de spams. Pourquoi s'en priver alors ?
Relis ton post et imagine que je défendais les captchas. Tous tes arguments sont tout aussi valides pour les captchas avec le point marquant que les captchas sont *très* embêtants pour les utilisateurs.
Les captchas sont en fait un aveux de défaite des programmeurs web sur les robots spammeurs. On transfère le travail sur l'utilisateur, on baisse les bras. Je trouve le principe même des captchas proprement scandaleux (et en plus, ça marche pas).
D'ailleurs, je ne prétend pas avoir inventé quoi que ce soit. Je suis certains que la majorité des gros sites sans captchas utilisent des système vaguement similaires (même de loin) mais sont discrets à ce sujet pour ne pas éveiller l'attention des spammers.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: captcha invisible
Posté par Moonz . Évalué à 2.
Le problème, c'est que tu arrêtes tous les robots. Y compris, par exemple si je veux faire un wmploumploum qui me permet de consulter et commenter ton blog en ligne de commande.
[^] # Re: captcha invisible
Posté par allcolor (site web personnel) . Évalué à 2.
Parce que a priori le captcha c'est pour tous même (et justement) ton robot.
[^] # Re: captcha invisible
Posté par allcolor (site web personnel) . Évalué à 2.
http://sahi.co.in/w/
[^] # Re: captcha invisible
Posté par Moonz . Évalué à 2.
(par robot, j'entendais: tout ce qui n'est pas un navigateur standard)
[^] # Re: captcha invisible
Posté par Moonz . Évalué à 2.
spamme le avec le code du robot qui t'a permis de le spammer :)
# bien vu
Posté par lsmod . Évalué à 1.
utiliser un token dans le formulaire et lier le token avec la session en cours.
Comme ça c'est transparent pour l'utilisateur, ça limite quand même les bots bourrin.
En associant à une session on peux limiter le nombre d'envois selon l'ip bon pas super.
Cela dit faire un bot qui prend le token et l'envois avec le formulaire n'a rien de compliqué, mais ça oblige le bot à télécharger le page, trouver le token avant d'envoyer quoi que ce soit.
Pour les numéro de téléphones je viens justement de coder une petite fonction qui pour ça, histoire de prendre tout les numéro genre +33 55.56.11.00
Et une une autre fonction pour changer ça +33 55.56.11.00 -> 003355561100
Condition pour que ce soit un phone valide : qu'il y ai pas de lettre dedans et qu'il y a 6 chiffre dedans au moins.
Pour le condition de validation d'une entrée un tooltips qui explique ce qu'il faut entrer lorsque le champ à le focus serai pas mal.
Après le plus important selon moi c'est que si le formulaire est mal remplis qu'il ne revienne pas vide!!! si il reviens vide je m'enfuis à tout les coup.
Faut aussi que l'utilisateur ai le temps pour remplir le formulaire, ça sert à rien de limité à 2 minutes.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.