Je cherche des idées pour éviter la création automatique de compte par des bots.
J'ai déjà un peu creusé la question https://gna.org/task/?func=detailitem&item_id=2876
Si quelqu'un à une proposition qui m'a échappé, ça me plairait, parce que je sêche.
L'idée, c'est d'éviter
- toute solution à base d'images qui ne marchera forcément pas pour un certain nombre d'utilisateur
- toute solution qui demande des interventions manuelles d'admins
- toute solution trop temporaire que les robots peuvent apprendre à faire en très peu de temps, car ça signifierait passer son temps à perfectionner le truc, comme à propos du spam, une escalade dans le déploiement d'astuces
Franchement, je sèche.
Journal des idées pour éviter la création automatique de compte par des bots ?
16
fév.
2006
# Quelques propositions
Posté par Ludovic F (site web personnel) . Évalué à 6.
- Présenter un texte et demander le mot x du paragraphe y.
- Pour valider l'inscription il faut cocher une case qui change d'intitulé: "Je suis un robot" / "Je ne suis pas un robot".
Bref quelques pistes simples :-)
[^] # Re: Quelques propositions
Posté par Anonyme . Évalué à 2.
- Le mot x du paragraphe y est envisagé (suivre le lien) mais ça ne doit pas être dur du tout d'abord au bot à comprendre cela
- L'idée de la boite est effectivement simple à mettre en oeuvre ; mais aussi facile à contourner :(
[^] # Re: Quelques propositions
Posté par Obsidian . Évalué à 8.
http://fr.wikipedia.org/wiki/Test_de_Turing
Le problème majeur est que derrière le bot, il y a l'intelligence humaine qui l'a écrit, et que c'est elle qu'il faut combattre en réalité.
Suis le lien proposé, tu verras que beaucoup de gens s'y sont cassé la tête avant toi, et tu y trouveras probablement beaucoup d'astuces qui te permettront d'avoir la paix au moins pour un temps.
Maintenant, je pense qu'il ne faut pas chercher de solution « absolue ». Soit c'est pour éviter les quelques bots qui pourraient passer de temps en temps sur ton site et dans ce cas, une solution élémentaire suffit, soit tu es littéralement envahi et dans ce cas, il faut essayer de savoir pourquoi. Si c'est parce que ton site est ultra-célèbre, alors effectivement il faut soit faire travailler l'utilisateur, soit investir dans de plus gros moyens.
Le courrier postal pourrait être l'un d'eux, étant donné le délai imposé et la nécessité d'avoir un opérateur pour saisir les informations ou faire du scan/OCR. Si tu en es là, il vaut mieux porter plainte :-)
Pour l'accessibilité, je pense que tu peux alterner fichiers sonores et fichiers visuels selon l'agent utilisé. Même si l'on veut prendre en compte les centaines de millions d'utilisateurs sous lynx/links :), il est toujours possible de télécharger l'image et de l'ouvrir avec un éditeur séparé.
Un aveugle qui surfe sur le web utilise automatiquement un agent sonore (ou alors une table braille, mais là encore, il est toujours possible de télécharger le fichier sonore et de le diffuser ailleurs).
Pour les fichiers sonores, tu peux demander aux gens de reconnaître un morceau de musique par exemple. La musique a l'avantage de s'affranchir des langues. Problème : Il faudra utiliser du classique si tu ne veux pas payer une somme forfaitaire à la SACEM pour avoir le droit de le faire, ce qui peut être envisagé : La dernière fois que j'avais regardé, ce n'était pas si inabordable que çà ...
Bonne chance.
[^] # Re: Quelques propositions
Posté par Yusei (Mastodon) . Évalué à 3.
[^] # Re: Quelques propositions
Posté par blobmaster . Évalué à 4.
Il suffit de d'abord faire une machine qui passe le test de Turing et puis après tu l'utilises pour vérifier que les machines des autres ne le passe pas.
Mouais...
Je crois que tu as raison. Il faudrait une sorte de test de Turing à l'envers. Un test que seul les machines pourraient réussir ce qui prouverais que ce n'est pas un humain.
On appelerait cela :
le test de Gnirut
poposition de test de Gnirut :
Quelle est la troisième couleur du drapeau français ?
Quelle est la couleur d'une feuille de papier ?
Quelle était la couleur du cheval d'Henri IV ?
Quelle est la couleur du coton ?
Quelle est la couleur de la crème fraîche ?
Que bois la vache ?
[^] # Re: Quelques propositions
Posté par Nitchevo (site web personnel) . Évalué à 5.
Bon ceci dit il existe beaucoup de tâches où un robot peut être plus habile qu'un homme.
Imaginons un site avec un questionnaire unique et deux forums: un formulaire permet de s'inscrire si l'internaute réussi le test il est inscrit au forum des bots et s'il échoue il est inscrit au forum des êtres humains.
En outre l'inscription au forum des bots permet d'éviter les essais successifs et donc les attaques pifométriques.
[^] # Re: Quelques propositions
Posté par Fabien Engels . Évalué à 4.
rouge ...
ça serait pas plutot la deuxième ? :D
[^] # Re: Quelques propositions
Posté par Clem Yeats . Évalué à -1.
hein quoi ? je sors.. ? ben pourquoi.... --> [ ]
[^] # Re: Quelques propositions
Posté par blobmaster . Évalué à 3.
Peut-être est-ce parce que je suis Breton ?
Je précise que les Bretons savent compter. Ce n'est que moi qui ai du mal.
Et je suis pas daltonien.
[^] # Re: Quelques propositions
Posté par theocrite (site web personnel) . Évalué à 5.
Moi je vois un autre problème. À moins de te restreindre à deux ou trois morceaux, tu vas avoir beaucoup de mal à trouver des morceaux pour un large public.
Il n'y a pas une semaine, j'ai vu quelqu'un confondre un morceau de Tchaikovski[1] et la Marseillaise.
Pour rigoler Blind test :
Une liste de musiques, combien ne connaissent pas ces airs ? Il ne doit pas y en avoir beaucoup. Qui peut mettre un titre à chacunes ?
http://upload.wikimedia.org/wikipedia/commons/9/99/Wolfgang_(...)
http://upload.wikimedia.org/wikipedia/en/b/bd/Rondo_Alla_Tur(...)
http://upload.wikimedia.org/wikipedia/commons/3/38/Die_Holle(...) (attendre au moins 40s)
http://upload.wikimedia.org/wikipedia/commons/3/3c/01_-_Viva(...)
http://upload.wikimedia.org/wikipedia/en/9/91/Ride_of_the_Va(...)
http://upload.wikimedia.org/wikipedia/en/a/ac/Blue_danube.og(...)
http://upload.wikimedia.org/wikipedia/commons/5/5b/Ludwig_va(...)
http://upload.wikimedia.org/wikipedia/commons/a/ab/Toreador_(...)
Il en manque encore plein dans le genre (Ode to joy, für Elise(Beethoven), Swan lake, The sleeping beauty(Tchaikovski), air (Bach), The entertainer, Stille-Nacht(Gruber), Funiculì, Funiculà (Denza), Champagne, Kaiser Walser (Strauss II), Radetzky March (Strauss I) etc...)[2].
Bien évidemment que tout le monde connait (ou presque). Et pour cause, on est entouré de musique classique : dans les pubs (n'oubliez pas, le principal...), dans les ascenseurs, sur sonneries de mobiles, sur les répondeurs téléphonniques, sur les attentes téléphoniques (vous avez demandé l'élysée, ne quittez pas), dans les boites à musiques, dans les dessins animés[3], dans les boites à musique, etc.
Mais pour mettre un nom dessus, c'est une autre paire de manche.
[1] http://upload.wikimedia.org/wikipedia/en/d/d0/Tchaikovsky_-_(...)
Entre 6'25 et 7'00
[2] Attention pas le droit de répondre "ode à la joie", "lettre à Élise", "lac des cygnes", "l'arnaque", "douce nuit/silent night" ou encore "la valse de l'empreur" sans quoi tu perds l'avantage de s'affranchir des langues.
[3] The sleeping beauty / La belle au bois dormant... Mooooooon aaaaaamouuuuuur, je t'ai vu au beau milieu d'un rêve.
[^] # Re: Quelques propositions
Posté par Yusei (Mastodon) . Évalué à 3.
- Boum boum boum Sweet dreams are made of thi-is Boumboum
- Marylin Manson
- Sale robot !
- Eurythmics ?
- Sale robot !
- Volkswagen
- Gagné !
[^] # Re: Quelques propositions
Posté par Obsidian . Évalué à 2.
Si un bot veut essayer de reconnaître tous les morceaux à coup sûr (ou à 85% de probabilité), il lui faudra faire beaucoup de transformées de Fourrier et avoir un catalogue de titre de tueur.
Après, de ton coté, il faut aussi prévoir un système de réponse un minimum intelligent, genre un field à remplir mais avec une certaine tolérance aux fautes d'orthographes et aux erreurs en tous genres.
Si tu implémentes le Test de Turing mais avec un bouton radio à deux options pour la réponse, cela n'a évidement plus d'intérêt.
[^] # Re: Quelques propositions
Posté par Anonyme . Évalué à 3.
- c'est pas bon pour les sourds
- c'est pas bon pour ceux qui n'ont pas le son (pas d'enceinte sur leur PC de boulot, pas de casque et pas la possibilité de géner avec du bruit sur des enceintes)
Rédhibitoire.
[^] # Re: Quelques propositions
Posté par Obsidian . Évalué à 2.
Il faut que tu te rende compe de ce que tu demandes. Si quelqu'un arrive à mettre au point ton système idéal, il en fera une publication dans une revue scientifique, pas dans un journal sur LinuxFR ...
[^] # Je suis un robot
Posté par JereMe . Évalué à 6.
- je sais chercher le mot x du paragraphe y
- je suis con, mais j'ai tout mon temps, donc une réussite de 1/2 me va parfaitement. Puis sinon, je lis le texte "Je suis un robot" / "Je ne suis pas un robot".
[^] # Re: Quelques propositions
Posté par Maxime AD . Évalué à 0.
Personnellement, ça m'énerve de toujours devoir confirmer mon inscription, je préfère encore les images illisibles. Mais pour les non-voyants, ce n'est pas la meilleure solution (Ni pour ceux qui surfent sur Internet avec Lynx).
[^] # Re: Quelques propositions
Posté par Matthieu Moy (site web personnel) . Évalué à 4.
[^] # Re: Quelques propositions
Posté par kobayazen . Évalué à 2.
ca pourrait marcher jusqu'à ce que les bots aient des oreilles :)
[^] # Re: Quelques propositions
Posté par Infernal Quack (site web personnel) . Évalué à 5.
L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire
[^] # Re: Quelques propositions
Posté par totof2000 . Évalué à 2.
Et les sourds aveugles dans ce cas?
[^] # Re: Quelques propositions
Posté par beagf (site web personnel) . Évalué à 1.
OK ---> [ ]
[^] # Re: Quelques propositions
Posté par mathieu mathieu (site web personnel) . Évalué à 6.
[^] # Re: Quelques propositions
Posté par finss (site web personnel) . Évalué à 4.
\_o<
[^] # Re: Quelques propositions
Posté par Ludovic F (site web personnel) . Évalué à -1.
# ascii art?
Posté par peyo (site web personnel) . Évalué à 9.
Donc écrire un mot en ascii mélangé dans un fond et demander à l'utilisateur de le saisir.
[^] # Re: ascii art?
Posté par Yusei (Mastodon) . Évalué à 10.
[^] # Re: ascii art?
Posté par peyo (site web personnel) . Évalué à 7.
enfin l'idée c'est de pouvoir faire faire quelquechose à un humain qu'un robot est incapable de faire. Du coup j'avais deux idées. la première : l'oeil, c'est un de nos avantages sur la mechanique et l'electronique. Mais on abandonne à cause des aveugles.
La seconde : la littérature. Proposer plusieurs phrases dont une seule veut dire quelque chose :
1- manger d'un bon appétit
2- B.Gates est un excellent programmeur
Quelle phrase est absurde ?
Il faur une bdd avec des phrases qui veulent dire qqchose et avec des phrases qui veulent rien dire.
(Gnap tu voudrais détailler plus tes contraintes techniques)
[^] # Re: ascii art?
Posté par TilK . Évalué à 3.
[^] # Re: ascii art?
Posté par peyo (site web personnel) . Évalué à 1.
[^] # Re: ascii art?
Posté par Éric (site web personnel) . Évalué à 3.
Il faut avoir plusieurs jeux de 15 sinon il suffirait de donner une fois la réponse au robot pour qu'il passe à vie. Il faut que le nombre de jeux soit assez important pour qu'on ne puisse pas initialiser le robot avec certaines réponses et qu'il ait un taux de réussite trop important.
Résultat, tu vas probablement coder dans les 200 ou 300 entrées (donc 4500 propositions, bonjour le boulot). Quelqu'un qui y passe un minimum de temps initialisera son robot avec une trentaine de couples question/réponse. Son robot aura donc 1/10 de réussite, plus 1/15 sur les réponses inconnues. Ca reste encore un robot qui réussira facilement (le robot il s'en fout de recommencer plein de fois jusqu'à réussir). Pour peu que le robot apprenne de ses erreurs pour ne pas reproposer les mauvaises réponses, le joli robot va passer ton test à très courte échéance.
Pour que le test soit efficace il faut que les couples question/réponse soient générés automatiquement et aléatoirement, qu'ils ne soient justement pas pris dans une base de données (à moins d'en avoir une super grande).
C'est justement ça le problème. Faire à la main une question que le robot ne peut pas résoudre c'est simple. Le problème c'est faire générer au robot un couple question/réponse vérifiable qu'un autre robot ne pourra pas résoudre.
[^] # Re: ascii art?
Posté par Mr F . Évalué à 2.
A partir du moment ou tu as une question avec un certain nombre de réponses, c'est très simple de coder un robot capable d'apprendre de lui même.
Sur une question A, il effectuera les 15 réponses et, lorsqu'il aura la bonne réponse, la mémorisera. Ce n'est qu'une question de temps avant qu'il n'est parcouru toutes les réponses et toutes les question afin, ensuite, d'avoir un taux d'inscriptions de 100%; En gros, plus la moulinette tournera, plus les inscriptions seront rapides (si l'on considère que l'on veut 1000 inscriptions, par exemple).
Bien sûr, on pourra toujours rallonger ce temps en désactivant une IP à la 100ieme inscription par exemple, mais c'est quand même assez lourd, beaucoup d'entreprises étant natté. Et il suffit d'utiliser un robot utilisant des proxy ouvert pour déjouer ce genre de protection.
La seule vrai bonne solution reste la solution de l'image indéchiffrable par un robot à recopier, c'est simple et efficace. Pour le mal voyant, il suffit d'avoir une seconde alternative basé sur le son. Avec ce couple de solutions, je pense que c'est la seule arme ultime. le reste finira obligatoirement par plier.
[^] # Re: ascii art?
Posté par Dario Spagnolo (site web personnel) . Évalué à 1.
1. [...] chrétiens qui prévalut lorsque la croyance fondamentale, très opposée et foncièrement égoïste [...]
2. [...] passion de : unanime l'harmonie mais s'effacer et dans doit singulière l'exigence est que l'ego [...]
3. un autre assemblage de mots semblable au numéro 2
4. un autre assemblage de mots semblable au numéro 2
5. un autre assemblage de mots semblable au numéro 2
Toutes les phrases sont extraites, au hasard, de "une page au hasard" ( http://fr.wikisource.org/wiki/Special:Random ) sur fr.wikisource.org. Une seule d'entre elles a été laissée telle quelle, les 4 autres ont subi un mélange aléatoire des mots qui les composent.
A la première mauvaise réponse, l'IP est bloquée pendant 15 minutes, à la deuxième, pendant 5 heures, à la troisième pendant 2 jours.
Avantages :
1. Pas besoin de préparer la base de données. On se base sur wikisource.
2. Utilisable par aveugles et sourds
3. Le bot ne peut pas apprendre les bonnes et les mauvaises réponses
Inconvénient : il suffit de faire un bot capable de reconnaitre la bonne syntaxe française. Est-ce que c'est pensable de le faire ?
[^] # Re: ascii art?
Posté par Thomas Douillard . Évalué à 2.
En jouant avec la sémantique de la phrase (générer des phrases syntaxiquement correctees mais n'ayant pas de sens) on peut sans doute arriver a des résultats plus intéressants, bien qu'il y ait pas mal de travaux de ce côté là en TALN je pense (ce que semble confirmer une rapide recherche google). Je connais pas vraiment l'efficacité des méthodes, mais à mon avis il doit y avoir moyen de les piéger relativement facilement.
[^] # Re: ascii art?
Posté par Thomas Douillard . Évalué à 2.
[^] # Re: ascii art?
Posté par Éric (site web personnel) . Évalué à 2.
> hasard" ( http://fr.wikisource.org/wiki/Special:Random ) sur
> fr.wikisource.org. Une seule d'entre elles a été laissée telle quelle,
> les 4 autres ont subi un mélange aléatoire des mots qui les
> composent.
Tiens, ça pourrait presque marcher ça. Il doit y avoir moyen de biaiser (tenter de rechercher la phrase sur google, y mettre un analyseur syntaxique), mais ça doit être le test le moins mauvais que j'ai vu jusqu'ici
# un peu de javascript
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 3.
et ainsi détecter les robots qui on une frappe trop 'parfaite'
[^] # Re: un peu de javascript
Posté par Bruno (site web personnel) . Évalué à 4.
[^] # Re: un peu de javascript
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
document.write("foo");
document.write("bar");
et demander à l'utilisateur de tapper "foobar".
C'est une technique qui marche pas mal pour mettre une adresse email en pseudo-clair sur un site web. 99% des robots spammeurs n'executeront pas le javascript.
Mais le mec qui a un navigateur qui gère pas le Javascript, il l'a dans l'os aussi :-(.
[^] # Re: un peu de javascript
Posté par Bruno (site web personnel) . Évalué à 7.
Une solution encore plus simple : tu génères un champ hidden aléatoirement (et éventuellement signé, pour éviter qu'il ne soit pré-rempli par un bot) à l'affichage du formulaire, et lorsque l'utilisateur clique sur submit, un trigger javascript transforme le champ en question via un algo quelconque (un hash, un rot13, ...). Il suffit alors de recalculer ce code coté serveur et de vérifier qu'il est bien conforme.
[^] # Re: un peu de javascript
Posté par Antoine (site web personnel) . Évalué à 2.
[^] # Re: un peu de javascript
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 1.
si le champ hidden qui donne le resultat des stats est vide => tu jetes
[^] # Re: un peu de javascript
Posté par Yusei (Mastodon) . Évalué à 2.
Les CAPTCHA contournent le problème en demandant un "calcul" qu'un ordinateur a du mal à effectuer, mais qu'un humain peut effectuer. Envoyer des statistiques correspondant à une frappe irrégulière est à la portée de n'importe quel ordinateur.
[^] # Re: un peu de javascript
Posté par Pooly (site web personnel) . Évalué à 3.
http://sam.zoy.org/pwntcha/
[^] # Re: un peu de javascript
Posté par Yusei (Mastodon) . Évalué à 3.
Avec un peu de chance, c'est de là qu'on verra surgir la première vraie IA :)
[^] # Re: un peu de javascript
Posté par Éric (site web personnel) . Évalué à 2.
Il m'arrive fréquement d'échouer à ces trucs et c'est vite agacant. Par contre les robots trouvent les réponses avec un taux de réussite correct et eux s'en foutent de recommencer 10 fois pour passer.
Un bon captcha il faut avoir un palier à partir duquel on peut dire "s'il y a tant d'échec avant de trouver la solution, c'est que c'est un robot". Et pour ça il faut que l'humain ait facile 5 fois plus de chances de réussite que le robot. Je crois qu'aucun test que j'ai vu passé n'obtient ce genre de stat.
[^] # Re: un peu de javascript
Posté par Greg (site web personnel) . Évalué à 2.
[^] # Re: un peu de javascript
Posté par JoeBar . Évalué à 1.
[^] # Re: un peu de javascript
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
# champs obligatoire avec caractere de separation
Posté par alphacc . Évalué à 1.
14%06%1981
C'est pas très convi pour l'utilisateur lambda je vous l'accorde.
[^] # Re: champs obligatoire avec caractere de separation
Posté par Anonyme . Évalué à 2.
[^] # Re: champs obligatoire avec caractere de separation
Posté par alphacc . Évalué à 1.
[^] # Re: champs obligatoire avec caractere de separation
Posté par Krunch (site web personnel) . Évalué à 3.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: champs obligatoire avec caractere de separation
Posté par NeoWerner . Évalué à 2.
# vu sur un blog...
Posté par ploum (site web personnel, Mastodon) . Évalué à 10.
J'ai par contre une fois vu sur un blog une idée que je trouve géniale : un champ entier à coté duquel il était marqué : "si vous êtes un être humain, laissez ce champ vide".
C'est absolument génial parce que là il ne faut rien faire. Il suffit en plus, dans le code source de la page, de labeliser ce champ "email" ou "website" pour tromper les robots à coup sûr.
L'auteur précisait quand même qu'il se ramassait pas mal de messages de non-robots où les gens mettaient quand même qqch. Mais bon, là, on ne peut rien faire.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: vu sur un blog...
Posté par Anonyme . Évalué à 2.
[^] # Re: vu sur un blog...
Posté par JereMe . Évalué à 5.
Idem pour cette solution.
Tout dépend en fait si tu cherches à contrer les robots génériques (facile, mais "escalade" rapide comme pour les solutions antispam) ou empecher des gens d'adapter spécifiquement leurs bots pour savane (solution universelle imparable).
[^] # Re: vu sur un blog...
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
Comment un robot pourrait deviner qu'un champ particulier doit être vide ? Surtout que le but du robot est de mettre un site web donné dans tous les champs possibles.
Si le label est "website", je vois mal comment un robot pourrait comprendre qu'il doit le laisser vide.
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: vu sur un blog...
Posté par Krunch (site web personnel) . Évalué à 2.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: vu sur un blog...
Posté par Dario Spagnolo (site web personnel) . Évalué à 2.
Moi, je ne vois que des robots qui ciblent monsite.org et des robots qui ciblent tel ou tel script de forum (phpBB, SMF,...).
Je ne vois pas l'interet de faire un bot générique qui remplirait aléatoirement tous les forms qu'il trouve sur le net. En tout cas je crois que tout le spam que je reçois sur mes differents projets provient de bots spécifiques à phpBB, dotclear,...
Donc, si comme je l'imagine, les bots génériques ne courent pas les rues, quel est l'interêt de faire une vérification du type "laissez le champ suivant vide" ?
[^] # Re: vu sur un blog...
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
[^] # Re: vu sur un blog...
Posté par Netsabes . Évalué à 3.
[^] # Re: vu sur un blog...
Posté par jahrynx . Évalué à 3.
[^] # Re: vu sur un blog...
Posté par Frédéric Guihéry (site web personnel) . Évalué à 1.
[^] # Re: vu sur un blog...
Posté par ploum (site web personnel, Mastodon) . Évalué à 2.
Et si, comme qqn le suggère, on cache le champ avec la CSS, on n'a même plus besoin de mettre une explication.
Le robot doit donc parser la CSS ! Faisable mais trop complexe pour être rentable !
Mes livres CC By-SA : https://ploum.net/livres.html
[^] # Re: vu sur un blog...
Posté par Krunch (site web personnel) . Évalué à 2.
Sans compter que si chaque admin de chaque site doit choisir lui même la phrase accompagnant le champ, je suis convaincu que la grande majorité des sites resteront vulnérables à une analyse simple avec quelques regexps. Si le texte est généré par le logiciel, ça risque d'être encore plus simple à trouver.
Hu ? Patcher WWW::Mechanize pour qu'il utilise CSS::Parse ça parait pas trop complexe hein. Après si tu veux t'amuser à utiliser la CSS pour "déplacer" le texte en face du champ c'est autre chose mais alors ceux qui utilisent un navigateur ne supportant pas les CSS vont avoir des problèmes (et c'est contraire au principe même des CSS).
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
# Une idée simple...
Posté par Pierre Carrier . Évalué à 10.
Ou faire encore plus simple. Exemple : "Des pétales au bout d'une tige ?", et 3 checkbox : "Une fleur", "Un arbre", "Pierre Tramo".
[^] # Re: Une idée simple...
Posté par Anonyme . Évalué à 2.
Ca fait pas mal de taf (d'autant que Savane est traduit...) pour une solution contournable
[^] # Re: Une idée simple...
Posté par Maxime AD . Évalué à 1.
Je préfère ça à des mails de confirmation ou des images illisibles.
[^] # Re: Une idée simple...
Posté par NeoWerner . Évalué à 3.
[^] # Re: Une idée simple...
Posté par Ludovic F (site web personnel) . Évalué à 5.
De plus, celà ne devrait pas gêner l'inscription de personnes derrière un proxie.
Ca n'empêchera pas les inscriptions des robots, mais ils seront fortement limités. On peut même imaginer une liste noire automatique en cas d'abus répétés.
J'anticipe en disant que les gens qui emploient ce genre de robots n'ont pas 150 ip différentes et que l'utilisation de proxies ouverts n'est pas si aisée que ça.
[^] # Re: Une idée simple...
Posté par Krunch (site web personnel) . Évalué à 3.
Si tu persistes à vouloir détecter les bots, va lire [0] qui prend l'approche inverse (comment créer un bot indétectable) mais qui donne plein d'idées pour contrer les bots "simples" (timing, "browsing pattern",...). Évidemment c'est plutôt à implémenter au niveau du serveur web (un module Apache par exemple) et ça marche que si on admet que la plupart des bots ne sont pas aussi sophistiqués que ceux décrits dans cette présentation.
[0] http://www.spidynamics.com/spilabs/education/presentations/c(...)
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Une idée simple...
Posté par Krunch (site web personnel) . Évalué à 7.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Une idée simple...
Posté par Oook . Évalué à 1.
[^] # Re: Une idée simple...
Posté par Matthieu Moy (site web personnel) . Évalué à 3.
[^] # Re: Une idée simple...
Posté par Krunch (site web personnel) . Évalué à 2.
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Une idée simple...
Posté par Matthieu Moy (site web personnel) . Évalué à 2.
Difficile de savoir quel est le premier robot dans la chaine.
[^] # Re: Une idée simple...
Posté par nonas . Évalué à 2.
-"N'activer le compte que qu'après X heures" c'est super chiant pour les humains (si je m'inscris sur tel site pour utiliser tel service j'ai pas forcément le temps d'attendre X heures) et puis le robot ça ne le gène en rien, il postera sa merde avec du retard c'est tout.
-"Interdire aux X derniers pourcents d'utilisateurs inscrits" d'effectuer certaines opérations, ça rejoint le premier point aussi, si je m'inscris sur un forum pour poster ou participer j'ai pas envie de me faire jetter parce que ça m'est interdit pour X heures.
Alors forcément il y aura toujours des boulets dans le lot qui spamment avec leurs premiers messages et qu'on ne revoit plus jamais mais faut pas non plus que ça devienne chiant pour l'utilisateur honnête.
[^] # Re: Une idée simple...
Posté par Zenitram (site web personnel) . Évalué à 2.
- lire les autres
- comprendre l'idée du forum
- comprendre la maniere de faire
C'est frustrant au début, mais finalement je trouve pas mal : ca evite de debarquer d'un coup et foutre le bordel.
(en plus d'emmerder les bots)
[^] # Re: Une idée simple...
Posté par Hrundi V. Bakshi . Évalué à 3.
Il repère le label "question anti robot", compte les checkbbox et envoie 3 messages.
Quelques lignes de code dans un script à rajouter...
[^] # Re: Une idée simple...
Posté par Yusei (Mastodon) . Évalué à 3.
Le problème, c'est que même avec une chance sur 10, le bot peut très bien tenter de d'inscrire jusqu'à ce qu'il réussisse, et choisir une réponse parmis 10 est assez pénible pour l'utilisateur. L'avantage des mots à saisir, dans les CAPTCHA, c'est qu'il y a suffisemment de possibilités pour que faire des tentatives au hasard ne soit pas rentable.
Le même test, avec des questions, mais où l'utilisateur doit saisir la réponse lui même au lieu de la choisir dans une liste, serait plus efficace, mais plus pénible pour les visiteurs. Par contre, la question peut être utilisée en complément d'une image, pour permettre aux aveugles de répondre sans inconvénient pour les voyants.
[^] # Re: Une idée simple...
Posté par totof2000 . Évalué à 2.
par exemple:
beau fait il matin ce
"il fait beau ce matin"
il reste a choisir des phrases suffisamment complexes pour qu'iun bot ne puisse rien y faire, mais pas trop pour qu'un humain puisse la reconstituer.
[^] # Re: Une idée simple...
Posté par Yusei (Mastodon) . Évalué à 2.
long auront par remettre si mal phrases les contre, à probablement du les dans humains l'ordre c'est :)
[^] # Re: Une idée simple...
Posté par RedIsDead . Évalué à 1.
"il fait beau ce matin"
ou
"la belle voiture rouge"
C'est deja beaucoup plus dur a analyser par un robot.
il faudrait generer une base avec des phrases de la vraie vie, prises dans des articles sur le web.
[^] # Re: Une idée simple...
Posté par Guillaume D. . Évalué à 2.
car avec une recherche "google" ou
une base litteraire consquente,
tu as vite fais d'avoir le bon ordre.
a+
# CAPTCHA
Posté par JoeltheLion (site web personnel) . Évalué à 4.
[^] # Re: CAPTCHA
Posté par Gniarf . Évalué à 2.
http://sam.zoy.org/pwntcha/
en pratique et pour avoir géré plusieurs systèmes à boulets potentiels (wiki, forums, jeux en ligne...), tu peux effectivement mettre des batons dans les roues des quelques robots qui tournent en aveugle (et te trouvent avec des requetes sur Google, par exemple) mais tu ne peux rien faire face à des gens déterminés. une fois qu'ils t'ont "trouvé", c'est foutu.
une solution possible est de les empecher de nuire tout de suite, par exemple en ne leur donnant pas tous les droits (comme envoyer des mails) tout de suite... ou encore d'annuler toute contribution contenant certains mots clefs (herbal viagra et autres poker)...
bon, après, ceux qui vont me dire "esprit wiki tout ça", faut savoir ce que vous voulez...
[^] # Re: CAPTCHA
Posté par JoeltheLion (site web personnel) . Évalué à 4.
Les images avec des mots sont une solution de Captcha, qui a été cassée depuis un moment. Si je recommande ce site web, c'est parce qu'il envisage le problème général de manière intéressante : le test de turing automatisé. D'ailleurs ils bossent aussi sur d'autres solutions, par exemple http://gs264.sp.cs.cmu.edu/cgi-bin/esp-pix
Voir aussi comment ils ont rempli leur base de données, c'est assez génial.
[^] # Re: CAPTCHA
Posté par efyx (site web personnel) . Évalué à 2.
C'est marrant au dirait un jeux, le but c'est de trouver le point commun entre les quatre images, perso je suis arrivé a en trouvé 1 sur 4...Faut que je m'améliore!
(ps : ils aurait du mettre une liste de mot encore plus longue...)
[^] # Re: CAPTCHA
Posté par Elly . Évalué à 4.
Ouch, c'est dur leur truc.
Merde, je passe pas le test de turing :/
[^] # Re: CAPTCHA
Posté par Gniarf . Évalué à 2.
mais ce qu'il se passe depuis des années (pour se créer des comptes Hotmail à la volée par exemple), c'est que les vilains méchants emploient tout simplement des humains payés quelques dollars de l'heure pour passer ces tests. ou les font remplir par des visiteurs qui veulent accéder ensuite à des sites de fesses, par exemple.
donc tenter de discerner les humains des robots est un peu inutile. vouloir s'assurer de la véritable identité de nouveaux inscrits est déjà plus interessant.
[^] # Re: CAPTCHA
Posté par JoeltheLion (site web personnel) . Évalué à 1.
Oui alors entre un site qui laisse le bot faire 500 inscriptions par seconde et un site où le méchant doit mettre en place un système compliqué avec des gens pour récolter quelques inscriptions, il y a quand même un fossé...
L'idée n'est pas de faire un système à la sécurité absolue, mais d'augmenter le coût de l'ouverture des comptes pour que l'utilisation frauduleuse ne soit plus rentable.
[^] # Re: CAPTCHA
Posté par Gniarf . Évalué à 1.
...mais j'insiste que dès qu'un méchant aura repéré un site apparement sans défense, il va revenir et revenir et revenir, et même s'amuser à jouer au chat et à la souris, à donner dans la course à l'armement, si le site en question commence à essayer de faire le ménage ou se protéger.
pour lui, ce site n'est qu'une ligne dans un fichier avec tout un tas d'autres, rien de personnel. en fait, même, tu le distrais.
et même quand il n'y aura plus d'enjeu pour lui, que ça ne sera plus rentable, parfois il reviendra tant que ça l'amusera ou qu'il sait qu'il fera chier son monde
[^] # Re: CAPTCHA
Posté par JoeltheLion (site web personnel) . Évalué à 2.
Dans un commentaire précédent, tu affirmes:
donc tenter de discerner les humains des robots est un peu inutile. vouloir s'assurer de la véritable identité de nouveaux inscrits est déjà plus interessant.
C'est là que je suis pas du tout d'accord : je pense au contraire que c'est très utile à moyen terme. Ce n'est pas un problème facile, d'accord, mais si à terme on arrive à un coût insupportable pour les spammeurs, on aura fait une avancée majeure.
Là où le projet Captcha a du mérite, c'est qu'il cherche une solution générale alors que tout le monde développe sa petite solution plus ou moins boîteuse dans son coin. C'est encore plus dur, mais ils le font de manière ouverte, en proposant des challenges, et ils ont déjà pas mal avancé. Résultat les plus grands sites utilisent leurs méthodes.
[^] # Re: CAPTCHA
Posté par vieuxshell (site web personnel) . Évalué à 0.
Sauf que tant que cette solution n'existe pas, le coté "tour de babel" des moyens de protection est encore une option plutot bonne. Ca demande aux spammers d'adapter en permanence leurs outils aux nouvelles methodes.
S'il n'y a qu'une solution unique, elle à interet à être super-robuste car il y a un paquet de monde qui va tenter de la faire tomber. (Exemple la crypto)
[^] # Re: CAPTCHA
Posté par Gniarf . Évalué à 4.
alors comme "coût insurmontable", j'ai vu mieux.
dans le même style, les jeux en ligne à la Everquest ou WoW ont leurs "farmers" depuis des années, des joueurs qui passent leurs journées à tuer certains monstres à des endroits précis pour récupérer des objets et... les revendre contre des vrais dollars. et surtout sabotent le jeu d'une manière générale. donc sont des nuisibles.
une fois que les robots seront trop chers, on utilisera des chinois, et ce n'est pas ça qui manque.
# Non à la ségrégation
Posté par Nicolas Schoonbroodt . Évalué à 9.
Les robots sont des humains comme les autres, ce n'est pas parce qu'ils n'ont pas de corps ou une couleur grise qu'ils sont inférieurs aux autres !
[^] # Re: Non à la ségrégation
Posté par Yth (Mastodon) . Évalué à 7.
Et que, ceci étant admis, il aurait autant sa place que des êtres de chair et de sang à l'intérieur du système, par simple respect pour ses capacités à utiliser ce système ?
Yth.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 6.
Ce commentaire a été supprimé par l’équipe de modération.
# bots don't pay
Posté par Grumbl . Évalué à 9.
oui, bon, je sors ------->
# Facile
Posté par lezardbreton . Évalué à 6.
Bon, la conséquence facheuse, c'est que tu vas attirer des utilisateurs dont tu te passerais surement....
[^] # Re: Facile
Posté par Uvoguine . Évalué à 10.
[^] # Re: Facile
Posté par Greg (site web personnel) . Évalué à 1.
[^] # Re: Facile
Posté par Guillaume D. . Évalué à 2.
ici : http://www.aidoforum.com/traducteur-sms.php
# solution mixte
Posté par schyzomarijks . Évalué à 10.
D'après les stats, en France, la proportion du nombre des aveugles à la population est de un sur mille cinquante, ce qui donnerait environ trente mille quatre cent cinquante aveugles.
Il est concevable de considérer que l'inscription peut se faire avec une protection par image et de prévoir une solution alternative d'inscription de validation par un administrateur pour des cas qui resteront très très rares.
PS: URL des stats http://www.piranesia.net/francaispeints/tome4/02pauvres/10or(...)
[^] # Re: solution mixte
Posté par lorill (site web personnel) . Évalué à 3.
[^] # Re: solution mixte
Posté par schyzomarijks . Évalué à 2.
Et puis, une analyse d'un fichier sonore est une chose possible à faire. Il ne faut pas que l'inscription secondaire soit accessible à un bot :-)
[^] # Re: solution mixte
Posté par Mes Zigues . Évalué à 0.
# Le sens des mots.
Posté par RedIsDead . Évalué à 1.
L'idee est simple :
Il suffirait d'avoir une base avec des phrases simples mais pas trop.
Ensuite une (ou plusieurs) question avec 4 checkbox :
Sur les 4 possibilites, 3 ou les mots de la phrase ont ete melangee aleatoirement, et la phrase d'origine.
En mettant par exemple 3 questions comme ca, ca doit etre assez resistant.
Bon apres evidemment ca ne passe pas la barrierre de la langue,
mais ca marche pour les aveugles.
[^] # Re: Le sens des mots.
Posté par schyzomarijks . Évalué à 1.
dommage, Same player shoot again ;-)
PS :Insert coin !
[^] # Re: Le sens des mots.
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Sur 10 choix multiples de 4 entrée, cela donne : 0.25 chance de tombé juste par hasard pour une question et 0.25^10 (1 chance sur 1 millions) pour 10 questions...
Les questions pourrait être des phrases sorties de textes simple. Les fausses réponses étant des permutations de mots ou de locutions qui donnerait des phrases sans sens.
"La première sécurité est la liberté"
[^] # Re: Le sens des mots.
Posté par RedIsDead . Évalué à 2.
N'importe quelle technique peut etre brute forcee, meme avec des chiffres sur une image sauf que c'est long.
Sinon il suffit de multiplier le nombres de questions.
Avec 10 questions, au pifometre on est deja a 1 validation pour un million d'essai. Je ne sais pas a partir de combien on peut dire que c'est resistant a des bots qui ont du temps devant eux.
Apres c'est sur que c'est un peu embettant ce questionnaire, plus qu'une image. Dans ce cas la il faut reserver une procedure speciale comme ceci pour les aveugles mais il faut mettre beaucoup de questions car c'est ce point faible que vont exploiter les bots.
[^] # Re: Le sens des mots.
Posté par Yusei (Mastodon) . Évalué à 2.
Les méthodes qui nécessitent d'entrer un mot, comme la plupart des systèmes d'images, c'est beaucoup plus résistant aux attaques pifométriques, à niveau d'emmerdement égal (pour l'utilisateur). Taper un mot entre 5 et 10 lettres, c'est relativement peu chiant, et le nombre de mots possibles ayant entre 5 et 10 lettres est très élevé, même si on se limite aux mots qui ont un sens. Jouer au hasard à deviner un mot de 8 lettres, ce n'est vraiment pas rentable. Ça revient à un QCM avec 8 questions de 26 choix chacune !
Par contre, si on pose des QCM, on est obligé d'en poser un certain nombre pour que ça devienne résistant, et il faut s'assurer qu'un humain ne risque pas de se tromper occasionnellement, parce que si on lui demande de se re-taper un formulaire de dix questions à chaque fois qu'il se plante...
[^] # Re: Le sens des mots.
Posté par Jean-Philippe Garcia Ballester (site web personnel) . Évalué à 2.
Et les dyslexiques? Les synonymes? Les gens qui tapent à deux doigts? Les fautes de frappe?
[^] # Re: Le sens des mots.
Posté par Amand Tihon (site web personnel) . Évalué à 1.
Coté serveur, lors de l'affichage de la page d'inscription, on génère une clé aléatoire de 128bits (ça devrait suffire :p), qu'on stocke en DB, associée à l'IP du client. Cette clé est également mise en input "hidden" dans le formulaire d'inscription.
Une réponse ou une clé incorrecte au moment de la validation désactive toute possibilité d'inscription depuis cette IP pour 24 heures.
Si la réponse était correcte, d'autres inscriptions peuvent se faire.
Une tâche en cron peut nettoyer la DB des entrées ayant plus de 24 heures.
On peut réduire la durée de la "punition", si trop d'utilisateurs ont tendance à se tromper.
Il faut aussi faire attention à ne limiter les inscriptions que pour les adresses qui ont effectivement tenté leur chance, pour éviter que deux chargements de la page d'inscription ne désactive toute possibilité d'aller plus loin.
Évidemment, ça ne répond qu'au problème des essais/erreurs, et pas au genre de question qu'il faut poser à l'utilisateur pour le distinguer d'un bot.
# Questionnaire
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Et je poserais un bloc de question.
La probabilité de tombé juste à toutes les questions pour un robot est quasi nul. Mais il faut un certain nombre de question pour éviter l'enregistrement de réponse.
Genre :
Combien y'a-t-il de jour dans l'année ?
Combien y'a-t-il de jour dans une semaine ?
Qu'est-ce qui sert à découpé du papier ? - ciseau -scie -cisaille
Qu'est-ce qui sert à découpé du bois ? idem ...
"La première sécurité est la liberté"
[^] # Re: Questionnaire
Posté par RedIsDead . Évalué à 1.
[^] # Re: Questionnaire
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
# Propal ?
Posté par Prae . Évalué à 0.
Tu proposes "Je confirme", "Je ne confirme pas"
Mais dans la construction de l'input type, tu génères un "name" et "id" aléatoire.
Puis tu cryptes la vraie valeur du "Je confirme" dans un input type hidden.
Tu récupères les deux, tu décryptes l'un, tu compares les deux, si c'est OK, tu valides.
Bon, le robot peut essayer de se connecter plusieurs fois et refaire le formulaire jusqu'à ce qu'il tombe sur le bon (une chance sur deux si récupération du statut, ou bien aléatoire)
Ca rajoute un truc supplémentaire chiant
[^] # Re: Propal ?
Posté par Yusei (Mastodon) . Évalué à 5.
[^] # Re: Propal ?
Posté par Prae . Évalué à 3.
Si t'as deux input type checkbox dont le name et l'id sont cryptés, un bot pourra pas savoir.
Cependant, il pourrait lire le content juste après et savoir ... hmmm! ok ...
Un truc avec javascript et display au bon endroit ?
Bon, bah finalement, je m'apercois que c'est pas réalisable ou bien c'est relou :-\
Oubliez ce que j'ai dit :-\
# différentes pistes
Posté par Nicolas Deveaud . Évalué à 2.
Donc il faut savoir les différences entre ces deux espèces.
Etant donné que l'IA évolue, les robots vont de toute façon toujours tendrent à égaler les humains. Donc toutes les solutions qui peuvent être trouver ne seront que temporaire. C'est un fait à ne pas négliger.
Basons nous donc sur les limitations des bots actuellement :
1) Il ne savent probablement pas bien interpréter les images.
On peu donc se baser sur des images comme cela se fait, ou d'autres solutions visuelles comme cela à été proposé pour les dessein en ASCII.
2) les robots ne savent pas actuellement gérer les sons :
Effectivement la solution des sons peut être interessante, mais finalement pas plus que les images par exemple. Un sourd ne pourra pas entendre le son.
Et les robot finiront bien par savoir lire les sons.
Donc c'est une solution un peu compliqué à mettre en place (les sons ne sont pas bien géré sur le web en général actuellement) et qui n'apporte pas grand chose.
3) Il n'ont pas la notion de sens d'une image ou d'un mot ou d'un son :
On peut donc se baser sur la compréhension d'une définition, sur la traduction d'un terme, sur l'utilisation de synonymes. On peu également se baser sur la signification des images, avec par exemple l'image d'un arbre, ou l'image d'un oiseau.... On peu également se baser sur la signification des sons (un bruit de vent, un bruit de vagues ou de moteur...)
Ces solution on un désavantage : les interprétations peuvent varier d'une personne à l'autre. Par exemple si une image représente un oiseau, certain pourront dire par exemple un merle, ou une pie etc....
Il faut donc accompagné la fonction d'une notice d'explication... ce qui peut être mal perçu par l'utilisateur.
En plus une telle solution est nettement plus compliquée à traduire, surtout pour le définitions ou les synonymes.
Certains proposaient l'utilisation de checkbox pour ce genre de solutions, mais cela rend alors trop probable le succès pour un bot faisant un choix aléatoire, et ce n'est donc pas acceptable.
Je pense en conclusion que les meilleurs solution qui j'ai pu voir sont celles du 3). Le problème des aveugles, sourd ou autres peut être à mon avi résolu en proposant deux ou trois solutions d'identifications au choix. Si les trois méthodes sont aussi sécurisantes les une que les autres, ca ne devrait pas poser de problème.
De plus, un avantage qu'on les robots c'est leur capacité a tester indéfiniment jusqu'au résultat. Il faut donc pouvoir contrer ces accès de force en limitant le nombre de tentatives. Se baser pour cela sur l'adresse ip n'est pas forcemment une bonne solution car par exemple deux personnes d'un même réseau peuvent avoir sur le net la même adresse ip. Il ne faut donc pas uniquement se baser sur l'ip. On pourrait completer le controle avec un systeme de session, mais je n'ai pas de proposition plus précise à ce sujet pour le moment.
Voila, c'était mes deux balles de contribution :)
# Serveur Central
Posté par tuan kuranes (site web personnel) . Évalué à 2.
On déplace le problème sur le serveur central. En centralisant ca dans un serveur central qui ne fait qu'authentifier la première connexion, apres l'utilisateur est considére comme inscrit dans le site.
Sur le serveur central, l'utilisateur passe une batterie de tests pour determiner son humanité, mais une fois pour toute.
Chaque utilisateur se voit attribuer un nombre de points.
Un site peut reporter un utilisateur comme Spammeur.
Si l'utilisateur est à 0 points => Tous les sites auquels il est inscrit sont notifiés. (il peuvent effacer automatiquement ses traces.)
Tests de reconnaissance auditives (mot, sens, langue), visuelles (distortion de texte, Illusions d'optiques), questionnaire de 50 questions de "bon sens" puisé aléatoirement dans une base de plusieurs milliers. Verif Mail avec utilisation d'une greylist pour verifier les mails, 1 essai max par IP par semaine, etc...
La totale.
On peut se permettre des methodes d'authentification très fortes et combinés, ca me derangerait pas de m'authentifier pendant 10 mn, que ca dégage les spammeurs de tous les forums du web et si c'est une fois pour toutes.
[^] # Re: Serveur Central
Posté par Nicolas Deveaud . Évalué à 2.
Je pense que ça c'est un point important.
Quel est la limite acceptable pour les humains d'une part et pour les bots d'autre part.
Pour un humain, est-ce que il sera pret à passer 10 minutes a s'identifier pour poster un message sur un forum ? Et pour s'inscrire à un compte banquaire ?
Pour un bot, est-ce qu'il sera rentable que le bot passe trois jour pour créer un compte sur un forum pour le spammer.....
Dans tous les cas il y a des limites acceptables.
Je pense que l'on arrivera jamais a trouver un moyen 100% fiable pour empêcher un bot.
Par contre on peu rendre le fait de contourner le controle inutile.
Si on se débrouille pour que le fait de créer un compte pour un bot dure 2 jours, ca devient beaucoup moins rentable de faire des bots.
Mais évidemment il faut pas que ça rende l'inscription insupportable pour les humains.
Il faut donc comme le disait je ne sais plus qui contrer l'action des spammeurs sur toute la ligne et pas seulement sur l'inscription. Il faut se débrouiller pour qu'il ne soit plus rentable de faire du spam.
Les systèmes de notations peuvent être intéressant. Si quelqu'un spam, sa note est baissé, et s'il atteint une limite son compte est désactivé.
Des système de timing sont aussi possible. Il ne doit pas être possible de faire plus de x actions dans l'heure.....
tout dépend après du type de compte en question.
++
[^] # Re: Serveur Central
Posté par Mathieu CLAUDEL (site web personnel) . Évalué à 1.
et quand on veux créer un compte sur un site qui gére le bouzin,
tu donne ton :
- serveur sso
- ton identifiant
- ton mot de passe
(jabber ?)
le probleme c'est de 'certifier' le serveur
sinon, il suffit de monter son serveur qui repond toujours 'oui'
[^] # Re: Serveur Central
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
"La première sécurité est la liberté"
[^] # Re: Serveur Central
Posté par totof2000 . Évalué à 2.
Et qui aurait en charge ce serveur central?
Et ce serveur, il serait capable d'identifier toutes les requêtes que tu aurais passées pour t'envoyer de la publicité ciblée, etc ...
[^] # Re: Serveur Central
Posté par tuan kuranes (site web personnel) . Évalué à 1.
Le serveur central ne trace rien. Il a la liste des utilisateurs et la liste des sites auquels ils sont inscrit. Le site ne vérifie pas l'authentification pas à chaque fois mais une fois pour toute.
Mais oui, L'idéal étant de le faire gérer par la EFF plutot que par une société à but lucratif...
[^] # Re: Serveur Central
Posté par Krunch (site web personnel) . Évalué à 3.
http://www.projectliberty.org/
http://www.passport.net/
pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.
[^] # Re: Serveur Central
Posté par tuan kuranes (site web personnel) . Évalué à 2.
Et par le nouveau truc de sir bill gates cf : http://www.theinquirer.net/?article=29751
Le probleme, outre d'etre géré par des société à but lucratif, est le fait que c'est sensé servir aussi à un paquet d'autre chose que d'empecher le spam des sites et forums. (signature electronique, remplacant de CB, outil de tracage, etc...)
Ici le serveur central n'aurait qu'un et un seul but, j'ai nommée :
L'identification humaine
[^] # Re: Serveur Central
Posté par nicoprog . Évalué à 2.
# Faire faire une somme avec résultat texte
Posté par lolop (site web personnel) . Évalué à 3.
Lors del'édition d'une page, on a un petit champs à remplir en bas, avec une somme simple à calculer (genre trois plus quatre) et le résultat à rentrer sous forme de texte aussi (pas de chiffre).
Inconvénient: c'est dépendant de la langue, et il faut un peu de souplesse (dix sept, dix-sept...).
Tu peux demander à William Dodé son algo.
Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141
[^] # Re: Faire faire une somme avec résultat texte
Posté par Ptignome . Évalué à 1.
# de quel couleur était le cheval blanc d'henri IV ?
Posté par jijin . Évalué à 9.
# Cumuler les avantages de deux techniques
Posté par Cali_Mero . Évalué à 4.
- d'un coté, un test CAPTCHA classique avec une image
- de l'autre côté, avec le même code que le CAPTCHA, un fichier sonore mis à disposition généré directement via voiceXML.
- un champ classique pour permettre à l'utilisateur de rentrer le code trouvé par l'un ou l'autre des moyens proposés.
Intérêt de cette approche : Les aveugles ne sont pas exclus, puisqu'il y a le son. Les sourds et malentendants ne sont pas exclus non plus, puisqu'il y a l'image.
Bien sûr, le pauvre type qui est aveugle ET sourd aura bien du mal, mais même sans toi il en aurait déjà de toute manière. Une personne aussi dépendante aura forcément une personne valide pas trop loin d'elle pour l'aider si besoin.
Ca peut être une solution pour toi, si tu n'as pas peur de sortir le bazooka pour avoir un bon niveau de filtrage donc.
[^] # Re: Cumuler les avantages de deux techniques
Posté par Elly . Évalué à 2.
Ou alors c'est un type qui utilise un navigateur en mode console et qui a pas de carte son ou de haut parleur.
Mais bon, si les sites de developpement collaboratif de programmes libres se mettent à pas vouloir exclure les geeks, où va-t-on ?
# Un truc que les robots n'arriveront jamais a passer.
Posté par RedIsDead . Évalué à -1.
Par contre il faut une grosse base de questions.
Le probleme c'est que ca risque d'etre tres gavant pour s'inscrire, et peut-etre que des utilisateurs n'arriveront pas a s'incrire :)
[^] # Re: Un truc que les robots n'arriveront jamais a passer.
Posté par Nicolas Boulay (site web personnel) . Évalué à 2.
Par contre, il faut faire gaffe à la sagacité de google.
"La première sécurité est la liberté"
# Juste comme ça...
Posté par Anonyme . Évalué à 2.
http://sam.zoy.org/pwntcha/
Pour le son, merci, mais tout le monde n'a pas la possibilité d'écouter du son quand il s'inscrit (fac/entreprise, machine sans carte son (sisi, ça existe)...)
Et très franchement, moi ça me pomperait de devoir écouter un morceau de musique juste pour une inscrition web...
Donc à part un bon captcha et une validation mail automatisée, je ne vois pas...
[^] # Re: Juste comme ça...
Posté par Prae . Évalué à 3.
Ca m'indique
"./pwntcha: image size 132x89, 16 colours"
"./pwntcha: could not guess captcha type"
:-\
[^] # Re: Juste comme ça...
Posté par nicoprog . Évalué à 2.
[^] # Re: Juste comme ça...
Posté par Prae . Évalué à 2.
Si j'ai testé avec ma propre image, c'est qu'il y avait un but ...
Je vais surement contacter l'auteur pour savoir si c'est un bug passagé, ou bien si le programme n'a pas réussi à "lire" la clé-image
# Un peu comme les fortunes
Posté par blobmaster . Évalué à 2.
Ou des questions genre "qui est le troisième préz de la cinquième ?"
[^] # Re: Un peu comme les fortunes
Posté par bertrand . Évalué à 1.
# Blade Runner ...
Posté par Fabien Engels . Évalué à 4.
(pour ceux qui connaissent pas: http://fr.wikipedia.org/wiki/Blade_Runner_%28film%29 )
[^] # Re: Blade Runner ...
Posté par Sylvain Sauvage . Évalué à 2.
«
Leon: My mother?
Holden: Yeah.
Leon: Let me tell you about my mother...
[Leon shoots Holden]
»
# Truc bête (proposition n°42)
Posté par Loïs Taulelle ࿋ (site web personnel) . Évalué à 2.
Et un des phpéteur a eu une idée de génie : on doit préciser le nombre de personne (liste déroulante pré-remplie à 0). Ra-di-cal.
Ça n'empêche pas la mail de confirmation ensuite, pour valider adresse email et mot de passe. Voilà un peu d'eau au moulin.
Proverbe Alien : Sauvez la terre ? Mangez des humains !
# une suite logique
Posté par fearan . Évalué à 2.
du genre 1 deux 3 quatre X Y
que vaut X
que vaut Y
questions a réponses multiple
6 + 2 =
A : 8
B : 7+1
C: 8-7
D : 9-1
E : 2x4
1 2 3 5 8 13 21 34 X Y
que vaut X
que vaut Y
avec une notice explicative disant qu'a chaque nombre on ajoute le précédent
puis avec une petite base dans ce gout la, tu en prends 2-3 au hazard
cases à cocher: avec un text du style en raison d'un grand nombre de bots, veuillez cocher deux case / 3 et faire une serie de 12 boites
ordonancement de listes pour ranger les chiffrens dans l'ordre (dé)croissant
varier au maximum les suites logiques
en gros, le but est de tirer 2-3 tests au hasard, et ploquer 24H les IP qui tentent de s'inscrire ( et ratent ) 3x de suites
Multiplier les questions simples, mais de styles différents pour dérouter les bots...
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
[^] # Re: une suite logique
Posté par Éric (site web personnel) . Évalué à 2.
> A : 8
> B : 7+1
> C: 8-7
Ca prend quelques lignes à résoudre en python ou en ruby. C'est quasiment ce qu'il pourrait y avoir de plus facile à faire par un robot pour peu qu'il soit développé pour.
> 1 2 3 5 8 13 21 34 X Y
> que vaut X
> que vaut Y
> avec une notice explicative disant qu'a chaque nombre on ajoute le précédent
> puis avec une petite base dans ce gout la, tu en prends 2-3 au hazard
Là tu tombes dans le jeu de notices explicatives. Un humain passe, il fait quelques tirages, lit les notices, les implémente dans un robot (quelques lignes de script en général, pas plus), et tu as un robot qui passera tous les tests générés avec moins d'erreurs qu'un humain.
Ta seule protection tiendra au nombre de "jeux" possibles (si tu en as deux ou trois tu n'as aucune protection, si tu en as 2000 ça fonctionnera mais il te faudra passer un temps monstrueux à tout faire)
A la base tout ce qui est mathématique peut être oublié, les programmes sont très bons à ça. Les tests ne peuvent se reposer que sur
- une reconnaissance (orale, visuelle, ...) là où l'informatique est encore à la traine derrière l'humain
- une connaissance de l'humain (alors que le robot ne fait que des calculs)
- une compréhension du sens ou des implications (les robots ne savent pas faire)
Le problème c'est que dans le premier cas l'informatique a fait de gros progrès et les robots deviennent très efficace et très difficiles à mettre en échec.
Dans les deux autres cas on risque que l'humain n'ai pas la connaissance souhaitée (type le blind test musical, vous pouvez être sûrs que j'échoue même sur des trucs évidents). On a aussi le problème de la génération des questions : aucun robot ne pourra créer une question/réponse de toute pièce, il faudra donc se reposer sur une collection de questions/réponses faite par un humain. Non seulement elle risque d'être longue à faire, mais un robot initialisé avec une part conséquente des réponses (trouvées et notées par un humain) finira par réussir.
[^] # Re: une suite logique
Posté par fearan . Évalué à 1.
Ma proposition est de varier au maximum le type de test ( et si possible qui se ressemblent )
On peux aussi varier les test existant sans trop se compliquer la vie ( par exemple, pour la première question préciser que l'on ne veux que les additions...
Forcément, si quelqu'un fait un bot juste pour le site, il faut aller plus loin mais là il vaut mieux demander une adresse mail valide ( avec confirmation d'inscription ) en blacklistant tous les jetable.org et autre, et limiter a 1 inscription par heure par domaine
Il ne faut pas décorner les boeufs avant d'avoir semé le vent
# Et la protection de linuxfr.org n'est pas solide ...
Posté par Ptignome . Évalué à 2.
# Un email avec des directive?
Posté par lolop (site web personnel) . Évalué à 1.
Genre supprimer la x ième ligne... dupliquer la n ième... ajouter le contenu de la n ième ligne de la page à l'url trucmachin...
[en ayant bien sûr diverses possibilités, et diverses façons de les exprimer]
[bon, sûr que s'ils paient qq'un pour le faire à la mano, aucune solution "simple" ne sera possible]
Python 3 - Apprendre à programmer dans l'écosystème Python → https://www.dunod.com/EAN/9782100809141
# Une technique qui marche pas mal
Posté par Jerome Herman . Évalué à 1.
Tout d'abord il faut se constituer une liste de mots dans une base de données, des mots tous simples et els organiser suivant plusieurs critères. Par exemple genre, forme, couleur, taille, classe générique.
Ensuite pour confirmer l'email on envoit une liste des mots avec un critère commun et une question.
Par exemple :
Ou encore
Si on a un bon nombre de critères et une grosse base d'objets, ca limite les création par robot pendant un moment.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.