Journal des idées pour éviter la création automatique de compte par des bots ?

Posté par  .
Étiquettes : aucune
0
16
fév.
2006
Je cherche des idées pour éviter la création automatique de compte par des bots.

J'ai déjà un peu creusé la question https://gna.org/task/?func=detailitem&item_id=2876

Si quelqu'un à une proposition qui m'a échappé, ça me plairait, parce que je sêche.

L'idée, c'est d'éviter
- toute solution à base d'images qui ne marchera forcément pas pour un certain nombre d'utilisateur
- toute solution qui demande des interventions manuelles d'admins
- toute solution trop temporaire que les robots peuvent apprendre à faire en très peu de temps, car ça signifierait passer son temps à perfectionner le truc, comme à propos du spam, une escalade dans le déploiement d'astuces

Franchement, je sèche.

  • # Quelques propositions

    Posté par  (site web personnel) . Évalué à 6.

    - Le classique mail de confirmation
    - Présenter un texte et demander le mot x du paragraphe y.
    - Pour valider l'inscription il faut cocher une case qui change d'intitulé: "Je suis un robot" / "Je ne suis pas un robot".

    Bref quelques pistes simples :-)

    • [^] # Re: Quelques propositions

      Posté par  . Évalué à 2.

      - Il y a déjà le courriel de confirmation, mais ce n'est pas dur de contourner ce problème.
      - Le mot x du paragraphe y est envisagé (suivre le lien) mais ça ne doit pas être dur du tout d'abord au bot à comprendre cela
      - L'idée de la boite est effectivement simple à mettre en oeuvre ; mais aussi facile à contourner :(

      • [^] # Re: Quelques propositions

        Posté par  . Évalué à 8.

        Tu as du mal parce que ton problème, c'est le Test de Turing, tout simplement :

        http://fr.wikipedia.org/wiki/Test_de_Turing

        Le problème majeur est que derrière le bot, il y a l'intelligence humaine qui l'a écrit, et que c'est elle qu'il faut combattre en réalité.

        Suis le lien proposé, tu verras que beaucoup de gens s'y sont cassé la tête avant toi, et tu y trouveras probablement beaucoup d'astuces qui te permettront d'avoir la paix au moins pour un temps.

        Maintenant, je pense qu'il ne faut pas chercher de solution « absolue ». Soit c'est pour éviter les quelques bots qui pourraient passer de temps en temps sur ton site et dans ce cas, une solution élémentaire suffit, soit tu es littéralement envahi et dans ce cas, il faut essayer de savoir pourquoi. Si c'est parce que ton site est ultra-célèbre, alors effectivement il faut soit faire travailler l'utilisateur, soit investir dans de plus gros moyens.

        Le courrier postal pourrait être l'un d'eux, étant donné le délai imposé et la nécessité d'avoir un opérateur pour saisir les informations ou faire du scan/OCR. Si tu en es là, il vaut mieux porter plainte :-)

        Pour l'accessibilité, je pense que tu peux alterner fichiers sonores et fichiers visuels selon l'agent utilisé. Même si l'on veut prendre en compte les centaines de millions d'utilisateurs sous lynx/links :), il est toujours possible de télécharger l'image et de l'ouvrir avec un éditeur séparé.

        Un aveugle qui surfe sur le web utilise automatiquement un agent sonore (ou alors une table braille, mais là encore, il est toujours possible de télécharger le fichier sonore et de le diffuser ailleurs).

        Pour les fichiers sonores, tu peux demander aux gens de reconnaître un morceau de musique par exemple. La musique a l'avantage de s'affranchir des langues. Problème : Il faudra utiliser du classique si tu ne veux pas payer une somme forfaitaire à la SACEM pour avoir le droit de le faire, ce qui peut être envisagé : La dernière fois que j'avais regardé, ce n'était pas si inabordable que çà ...

        Bonne chance.

        • [^] # Re: Quelques propositions

          Posté par  (Mastodon) . Évalué à 3.

          En fait, c'est même un peu plus compliqué que le test de Turing, parce que ça doit être automatisé. Dans la version classique du test de Turing, c'est un humain qui interroge l'entité, et qui doit déterminer si l'entité est humaine, et pour l'instant un humain n'a pas trop de mal à le faire. Mais demander à une machine de déterminer si son interlocuteur est humain, c'est plus dur.

          • [^] # Re: Quelques propositions

            Posté par  . Évalué à 4.

            Mais si c'est très simple !
            Il suffit de d'abord faire une machine qui passe le test de Turing et puis après tu l'utilises pour vérifier que les machines des autres ne le passe pas.
            Mouais...
            Je crois que tu as raison. Il faudrait une sorte de test de Turing à l'envers. Un test que seul les machines pourraient réussir ce qui prouverais que ce n'est pas un humain.
            On appelerait cela :
            le test de Gnirut
            poposition de test de Gnirut :
            Quelle est la troisième couleur du drapeau français ?
            Quelle est la couleur d'une feuille de papier ?
            Quelle était la couleur du cheval d'Henri IV ?
            Quelle est la couleur du coton ?
            Quelle est la couleur de la crème fraîche ?

            Que bois la vache ?

            • [^] # Re: Quelques propositions

              Posté par  (site web personnel) . Évalué à 5.

              De l'eau, je suis un bot ;-)

              Bon ceci dit il existe beaucoup de tâches où un robot peut être plus habile qu'un homme.
              Imaginons un site avec un questionnaire unique et deux forums: un formulaire permet de s'inscrire si l'internaute réussi le test il est inscrit au forum des bots et s'il échoue il est inscrit au forum des êtres humains.
              En outre l'inscription au forum des bots permet d'éviter les essais successifs et donc les attaques pifométriques.

            • [^] # Re: Quelques propositions

              Posté par  . Évalué à 4.

              Quelle est la troisième couleur du drapeau français ?
              rouge ...

              ça serait pas plutot la deuxième ? :D

              • [^] # Re: Quelques propositions

                Posté par  . Évalué à -1.

                Ca depend ... de gauche a droite ou de droite a gauche ??

                hein quoi ? je sors.. ? ben pourquoi.... --> [ ]

              • [^] # Re: Quelques propositions

                Posté par  . Évalué à 3.

                Je me suis trompé.
                Peut-être est-ce parce que je suis Breton ?

                Je précise que les Bretons savent compter. Ce n'est que moi qui ai du mal.

                Et je suis pas daltonien.

        • [^] # Re: Quelques propositions

          Posté par  (site web personnel) . Évalué à 5.

          Pour les fichiers sonores, tu peux demander aux gens de reconnaître un morceau de musique par exemple. La musique a l'avantage de s'affranchir des langues. Problème : Il faudra utiliser du classique si tu ne veux pas payer une somme forfaitaire à la SACEM pour avoir le droit de le faire



          Moi je vois un autre problème. À moins de te restreindre à deux ou trois morceaux, tu vas avoir beaucoup de mal à trouver des morceaux pour un large public.

          Il n'y a pas une semaine, j'ai vu quelqu'un confondre un morceau de Tchaikovski[1] et la Marseillaise.

          Pour rigoler Blind test :
          Une liste de musiques, combien ne connaissent pas ces airs ? Il ne doit pas y en avoir beaucoup. Qui peut mettre un titre à chacunes ?
          http://upload.wikimedia.org/wikipedia/commons/9/99/Wolfgang_(...)
          http://upload.wikimedia.org/wikipedia/en/b/bd/Rondo_Alla_Tur(...)
          http://upload.wikimedia.org/wikipedia/commons/3/38/Die_Holle(...) (attendre au moins 40s)
          http://upload.wikimedia.org/wikipedia/commons/3/3c/01_-_Viva(...)
          http://upload.wikimedia.org/wikipedia/en/9/91/Ride_of_the_Va(...)
          http://upload.wikimedia.org/wikipedia/en/a/ac/Blue_danube.og(...)
          http://upload.wikimedia.org/wikipedia/commons/5/5b/Ludwig_va(...)
          http://upload.wikimedia.org/wikipedia/commons/a/ab/Toreador_(...)

          Il en manque encore plein dans le genre (Ode to joy, für Elise(Beethoven), Swan lake, The sleeping beauty(Tchaikovski), air (Bach), The entertainer, Stille-Nacht(Gruber), Funiculì, Funiculà (Denza), Champagne, Kaiser Walser (Strauss II), Radetzky March (Strauss I) etc...)[2].

          Bien évidemment que tout le monde connait (ou presque). Et pour cause, on est entouré de musique classique : dans les pubs (n'oubliez pas, le principal...), dans les ascenseurs, sur sonneries de mobiles, sur les répondeurs téléphonniques, sur les attentes téléphoniques (vous avez demandé l'élysée, ne quittez pas), dans les boites à musiques, dans les dessins animés[3], dans les boites à musique, etc.
          Mais pour mettre un nom dessus, c'est une autre paire de manche.



          [1] http://upload.wikimedia.org/wikipedia/en/d/d0/Tchaikovsky_-_(...)
          Entre 6'25 et 7'00
          [2] Attention pas le droit de répondre "ode à la joie", "lettre à Élise", "lac des cygnes", "l'arnaque", "douce nuit/silent night" ou encore "la valse de l'empreur" sans quoi tu perds l'avantage de s'affranchir des langues.
          [3] The sleeping beauty / La belle au bois dormant... Mooooooon aaaaaamouuuuuur, je t'ai vu au beau milieu d'un rêve.

          • [^] # Re: Quelques propositions

            Posté par  (Mastodon) . Évalué à 3.

            Faut pas demander le compositeur ou leur titre, faut demander dans quelle pub ça apparaît.

            - Boum boum boum Sweet dreams are made of thi-is Boumboum
            - Marylin Manson
            - Sale robot !
            - Eurythmics ?
            - Sale robot !
            - Volkswagen
            - Gagné !

          • [^] # Re: Quelques propositions

            Posté par  . Évalué à 2.

            L'avantage du fichier musical ou vocal est qu'il peut être très largement altéré tout en restant parfaitement audible et intelligible pour l'être humain, et ce à chaque nouveau chargement de la page.

            Si un bot veut essayer de reconnaître tous les morceaux à coup sûr (ou à 85% de probabilité), il lui faudra faire beaucoup de transformées de Fourrier et avoir un catalogue de titre de tueur.

            Après, de ton coté, il faut aussi prévoir un système de réponse un minimum intelligent, genre un field à remplir mais avec une certaine tolérance aux fautes d'orthographes et aux erreurs en tous genres.

            Si tu implémentes le Test de Turing mais avec un bouton radio à deux options pour la réponse, cela n'a évidement plus d'intérêt.

            • [^] # Re: Quelques propositions

              Posté par  . Évalué à 3.

              Deux problèmes majeurs à mon sens d'un tel système :
              - c'est pas bon pour les sourds
              - c'est pas bon pour ceux qui n'ont pas le son (pas d'enceinte sur leur PC de boulot, pas de casque et pas la possibilité de géner avec du bruit sur des enceintes)

              Rédhibitoire.

              • [^] # Re: Quelques propositions

                Posté par  . Évalué à 2.

                Mais si on met des images, tu va te plaindre aussi parce que les aveugles ou les déficients visuels ne peuvent pas les voir.

                Il faut que tu te rende compe de ce que tu demandes. Si quelqu'un arrive à mettre au point ton système idéal, il en fera une publication dans une revue scientifique, pas dans un journal sur LinuxFR ...

    • [^] # Je suis un robot

      Posté par  . Évalué à 6.

      - je peux répondre aux emails
      - je sais chercher le mot x du paragraphe y
      - je suis con, mais j'ai tout mon temps, donc une réussite de 1/2 me va parfaitement. Puis sinon, je lis le texte "Je suis un robot" / "Je ne suis pas un robot".

    • [^] # Re: Quelques propositions

      Posté par  . Évalué à 0.

      Argh... Tout sauf le mail de confirmation de grâce ^^.

      Personnellement, ça m'énerve de toujours devoir confirmer mon inscription, je préfère encore les images illisibles. Mais pour les non-voyants, ce n'est pas la meilleure solution (Ni pour ceux qui surfent sur Internet avec Lynx).

    • [^] # Re: Quelques propositions

      Posté par  . Évalué à 2.

      pourquoi ne pas faire jouer au navigateur une suite de fichiers audios representant chacun une lettre et demander ensuite à l'utilisateur de taper le mot correspondant dans son formulaire...
      ca pourrait marcher jusqu'à ce que les bots aient des oreilles :)

  • # ascii art?

    Posté par  (site web personnel) . Évalué à 9.

    je pencherais sur un truc en ascii art dans l'idée des codes dans des images(qui reste une parade solide). les librairies manquent pas en plus : choix aléatoire des caractères ou choix dans une liste...
    Donc écrire un mot en ascii mélangé dans un fond et demander à l'utilisateur de le saisir.

    • [^] # Re: ascii art?

      Posté par  (Mastodon) . Évalué à 10.

      L'ASCII-art ne résoud pas le problème posé par les images: un aveugle aura l'air malin quand son synthétiseur vocal va lui lire "slash backslash pound dollar slash point trait euro virgule point d'exclamation" :)

      • [^] # Re: ascii art?

        Posté par  (site web personnel) . Évalué à 7.

        ha vi j'avais pas pensé aux aveugles ^^
        enfin l'idée c'est de pouvoir faire faire quelquechose à un humain qu'un robot est incapable de faire. Du coup j'avais deux idées. la première : l'oeil, c'est un de nos avantages sur la mechanique et l'electronique. Mais on abandonne à cause des aveugles.
        La seconde : la littérature. Proposer plusieurs phrases dont une seule veut dire quelque chose :

        1- manger d'un bon appétit
        2- B.Gates est un excellent programmeur

        Quelle phrase est absurde ?

        Il faur une bdd avec des phrases qui veulent dire qqchose et avec des phrases qui veulent rien dire.

        (Gnap tu voudrais détailler plus tes contraintes techniques)

        • [^] # Re: ascii art?

          Posté par  . Évalué à 3.

          Donc un bot a une chance sur deux de se tromper, il n'a que doubler le nombre de demande...

          • [^] # Re: ascii art?

            Posté par  (site web personnel) . Évalué à 1.

            j'en ai mis deux mais possible d'en mettre 15 avec une seule sensée.

            • [^] # Re: ascii art?

              Posté par  (site web personnel) . Évalué à 3.

              Yep, 15, donc une chance sur 15 pour le robot.
              Il faut avoir plusieurs jeux de 15 sinon il suffirait de donner une fois la réponse au robot pour qu'il passe à vie. Il faut que le nombre de jeux soit assez important pour qu'on ne puisse pas initialiser le robot avec certaines réponses et qu'il ait un taux de réussite trop important.

              Résultat, tu vas probablement coder dans les 200 ou 300 entrées (donc 4500 propositions, bonjour le boulot). Quelqu'un qui y passe un minimum de temps initialisera son robot avec une trentaine de couples question/réponse. Son robot aura donc 1/10 de réussite, plus 1/15 sur les réponses inconnues. Ca reste encore un robot qui réussira facilement (le robot il s'en fout de recommencer plein de fois jusqu'à réussir). Pour peu que le robot apprenne de ses erreurs pour ne pas reproposer les mauvaises réponses, le joli robot va passer ton test à très courte échéance.

              Pour que le test soit efficace il faut que les couples question/réponse soient générés automatiquement et aléatoirement, qu'ils ne soient justement pas pris dans une base de données (à moins d'en avoir une super grande).
              C'est justement ça le problème. Faire à la main une question que le robot ne peut pas résoudre c'est simple. Le problème c'est faire générer au robot un couple question/réponse vérifiable qu'un autre robot ne pourra pas résoudre.

              • [^] # Re: ascii art?

                Posté par  . Évalué à 2.

                Je pense que tu as mis le doigt sur le point critique qui fait que ce genre d'option n'est pas viable.

                A partir du moment ou tu as une question avec un certain nombre de réponses, c'est très simple de coder un robot capable d'apprendre de lui même.

                Sur une question A, il effectuera les 15 réponses et, lorsqu'il aura la bonne réponse, la mémorisera. Ce n'est qu'une question de temps avant qu'il n'est parcouru toutes les réponses et toutes les question afin, ensuite, d'avoir un taux d'inscriptions de 100%; En gros, plus la moulinette tournera, plus les inscriptions seront rapides (si l'on considère que l'on veut 1000 inscriptions, par exemple).

                Bien sûr, on pourra toujours rallonger ce temps en désactivant une IP à la 100ieme inscription par exemple, mais c'est quand même assez lourd, beaucoup d'entreprises étant natté. Et il suffit d'utiliser un robot utilisant des proxy ouvert pour déjouer ce genre de protection.

                La seule vrai bonne solution reste la solution de l'image indéchiffrable par un robot à recopier, c'est simple et efficace. Pour le mal voyant, il suffit d'avoir une seconde alternative basé sur le son. Avec ce couple de solutions, je pense que c'est la seule arme ultime. le reste finira obligatoirement par plier.

              • [^] # Re: ascii art?

                Posté par  (site web personnel) . Évalué à 1.

                Et si on demande à l'utilisateur de choisir la phrase qui a plus de sens entre :

                1. [...] chrétiens qui prévalut lorsque la croyance fondamentale, très opposée et foncièrement égoïste [...]

                2. [...] passion de : unanime l'harmonie mais s'effacer et dans doit singulière l'exigence est que l'ego [...]

                3. un autre assemblage de mots semblable au numéro 2

                4. un autre assemblage de mots semblable au numéro 2

                5. un autre assemblage de mots semblable au numéro 2

                Toutes les phrases sont extraites, au hasard, de "une page au hasard" ( http://fr.wikisource.org/wiki/Special:Random ) sur fr.wikisource.org. Une seule d'entre elles a été laissée telle quelle, les 4 autres ont subi un mélange aléatoire des mots qui les composent.

                A la première mauvaise réponse, l'IP est bloquée pendant 15 minutes, à la deuxième, pendant 5 heures, à la troisième pendant 2 jours.

                Avantages :

                1. Pas besoin de préparer la base de données. On se base sur wikisource.

                2. Utilisable par aveugles et sourds

                3. Le bot ne peut pas apprendre les bonnes et les mauvaises réponses

                Inconvénient : il suffit de faire un bot capable de reconnaitre la bonne syntaxe française. Est-ce que c'est pensable de le faire ?

                • [^] # Re: ascii art?

                  Posté par  . Évalué à 2.

                  Ca dépends sans doute de la complexité des phrases, mais il doit exister des analyseurs syntaxique plutôt corrects, faut voir ce qui se fait de plus récent dans le traitement automatique du langage naturel. J'ai vu des algos pour faire ça en maîtrise, et j'imagine que c'était pas les travaux les plus récents.

                  En jouant avec la sémantique de la phrase (générer des phrases syntaxiquement correctees mais n'ayant pas de sens) on peut sans doute arriver a des résultats plus intéressants, bien qu'il y ait pas mal de travaux de ce côté là en TALN je pense (ce que semble confirmer une rapide recherche google). Je connais pas vraiment l'efficacité des méthodes, mais à mon avis il doit y avoir moyen de les piéger relativement facilement.

                  • [^] # Re: ascii art?

                    Posté par  . Évalué à 2.

                    Pour la génération de phrases aléatoire, des softs comme polygen le font, à partir d'une grammaire. Après, pour générer des phrases vraiment sensées, c'est plus tendu ;) Effectivement, aller les piocher dans un base ça peut être une bonne solution, même si la base devrait pas être dispo sur le net.

                • [^] # Re: ascii art?

                  Posté par  (site web personnel) . Évalué à 2.

                  > Toutes les phrases sont extraites, au hasard, de "une page au
                  > hasard" ( http://fr.wikisource.org/wiki/Special:Random ) sur
                  > fr.wikisource.org. Une seule d'entre elles a été laissée telle quelle,
                  > les 4 autres ont subi un mélange aléatoire des mots qui les
                  > composent.

                  Tiens, ça pourrait presque marcher ça. Il doit y avoir moyen de biaiser (tenter de rechercher la phrase sur google, y mettre un analyseur syntaxique), mais ça doit être le test le moins mauvais que j'ai vu jusqu'ici

  • # un peu de javascript

    Posté par  (site web personnel) . Évalué à 3.

    faire des statistiques sur la frappe entre deux touches du clavier pour remplir le formulaire.

    et ainsi détecter les robots qui on une frappe trop 'parfaite'

    • [^] # Re: un peu de javascript

      Posté par  (site web personnel) . Évalué à 4.

      A mon avis, les robots se fichent un peu du javascript ...

      • [^] # Re: un peu de javascript

        Posté par  (site web personnel) . Évalué à 2.

        Pour les robots génériques, justement, ça peut être une solution :

        document.write("foo");
        document.write("bar");

        et demander à l'utilisateur de tapper "foobar".

        C'est une technique qui marche pas mal pour mettre une adresse email en pseudo-clair sur un site web. 99% des robots spammeurs n'executeront pas le javascript.

        Mais le mec qui a un navigateur qui gère pas le Javascript, il l'a dans l'os aussi :-(.

        • [^] # Re: un peu de javascript

          Posté par  (site web personnel) . Évalué à 7.

          A ce moment, autant ne pas s'embêter, et ne rien demander du tout à l'utilisateur...

          Une solution encore plus simple : tu génères un champ hidden aléatoirement (et éventuellement signé, pour éviter qu'il ne soit pré-rempli par un bot) à l'affichage du formulaire, et lorsque l'utilisateur clique sur submit, un trigger javascript transforme le champ en question via un algo quelconque (un hash, un rot13, ...). Il suffit alors de recalculer ce code coté serveur et de vérifier qu'il est bien conforme.

    • [^] # Re: un peu de javascript

      Posté par  (site web personnel) . Évalué à 2.

      A mon avis un robot de spam charge directement la page de soumission du formulaire avec les données adéquates dans la requette (GET,POST, toussa...), donc le javascript n'est même pas executé.

      • [^] # Re: un peu de javascript

        Posté par  (site web personnel) . Évalué à 1.

        raison de plus
        si le champ hidden qui donne le resultat des stats est vide => tu jetes

        • [^] # Re: un peu de javascript

          Posté par  (Mastodon) . Évalué à 2.

          Le problème de ta solution, c'est qu'elle repose sur un calcul qui est effectué du côté du client, et dont tu ne peux pas vérifier le résultat. Si le client est malhonnête, il peut tricher sans problèmes.

          Les CAPTCHA contournent le problème en demandant un "calcul" qu'un ordinateur a du mal à effectuer, mais qu'un humain peut effectuer. Envoyer des statistiques correspondant à une frappe irrégulière est à la portée de n'importe quel ordinateur.

          • [^] # Re: un peu de javascript

            Posté par  (site web personnel) . Évalué à 3.

            Mais les Captcha, ça se crake aussi !
            http://sam.zoy.org/pwntcha/

            • [^] # Re: un peu de javascript

              Posté par  (Mastodon) . Évalué à 3.

              Évidemment, c'est une compétition infinie entre les faiseurs de tests et les casseurs de tests, mais chaque nouveau CAPTCHA repose sur un calcul supposé difficile pour les machines et facile pour les humains.

              Avec un peu de chance, c'est de là qu'on verra surgir la première vraie IA :)

              • [^] # Re: un peu de javascript

                Posté par  (site web personnel) . Évalué à 2.

                Justement, en pratique ces captcha sont souvent plus dûrs à trouver pour les humains que pour les robots

                Il m'arrive fréquement d'échouer à ces trucs et c'est vite agacant. Par contre les robots trouvent les réponses avec un taux de réussite correct et eux s'en foutent de recommencer 10 fois pour passer.

                Un bon captcha il faut avoir un palier à partir duquel on peut dire "s'il y a tant d'échec avant de trouver la solution, c'est que c'est un robot". Et pour ça il faut que l'humain ait facile 5 fois plus de chances de réussite que le robot. Je crois qu'aucun test que j'ai vu passé n'obtient ce genre de stat.

    • [^] # Re: un peu de javascript

      Posté par  (site web personnel) . Évalué à 2.

      ça pose problème avec un "coller" (control+V) ...

      • [^] # Re: un peu de javascript

        Posté par  . Évalué à 1.

        C'est pour un formulaire d'enregistrement ; tu fais rarement coller dans ce cas.

        • [^] # Re: un peu de javascript

          Posté par  (site web personnel) . Évalué à 2.

          Euh ... toi, peut-être pas, mais moi, quand il faut rentrer mon email, je le tappe rarement en entier (en général, c'est pas un copier-coller mais une completion de firefox).

  • # champs obligatoire avec caractere de separation

    Posté par  . Évalué à 1.

    genre date de naissance séparé par un caractere special (non usuel) avec une image qui montre un exemple à l'utilisateur ?

    14%06%1981

    C'est pas très convi pour l'utilisateur lambda je vous l'accorde.

  • # vu sur un blog...

    Posté par  (site web personnel, Mastodon) . Évalué à 10.

    Personnellement, j'ai absolument horreur de toutes ces méthodes de confirmation car, une fois sur deux, je suis moi même incapable de répondre à la question. C'est quel chiffre ça ? euuuuh.... Et c'est une majuscule ou une minuscule ça ? Et puis, pensons à toutes les personnes qui ont des défficiences visuelles !


    J'ai par contre une fois vu sur un blog une idée que je trouve géniale : un champ entier à coté duquel il était marqué : "si vous êtes un être humain, laissez ce champ vide".

    C'est absolument génial parce que là il ne faut rien faire. Il suffit en plus, dans le code source de la page, de labeliser ce champ "email" ou "website" pour tromper les robots à coup sûr.

    L'auteur précisait quand même qu'il se ramassait pas mal de messages de non-robots où les gens mettaient quand même qqch. Mais bon, là, on ne peut rien faire.

    Mes livres CC By-SA : https://ploum.net/livres.html

    • [^] # Re: vu sur un blog...

      Posté par  . Évalué à 2.

      C'est effectivement très intéressant, a priori les robots risquent de mettre du temps à la saisir, celle là :) Je le note

      • [^] # Re: vu sur un blog...

        Posté par  . Évalué à 5.

        Mais dès lors que le bot sait qu'il est sur un serveur qui tourne sur Savane, il pondra des 14%06%1981 systématiquement (beaucoup de naissances ce jour là !)


        Idem pour cette solution.

        Tout dépend en fait si tu cherches à contrer les robots génériques (facile, mais "escalade" rapide comme pour les solutions antispam) ou empecher des gens d'adapter spécifiquement leurs bots pour savane (solution universelle imparable).

      • [^] # Re: vu sur un blog...

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        Je dirais même plus : c'est quasiment impossible pour un robot de le comprendre !

        Comment un robot pourrait deviner qu'un champ particulier doit être vide ? Surtout que le but du robot est de mettre un site web donné dans tous les champs possibles.

        Si le label est "website", je vois mal comment un robot pourrait comprendre qu'il doit le laisser vide.

        Mes livres CC By-SA : https://ploum.net/livres.html

        • [^] # Re: vu sur un blog...

          Posté par  (site web personnel) . Évalué à 2.

          Si le but est d'éviter les robots "aveugles" qui cherchent des sites au hasard, c'est une solution efficace mais alors les captcha ou la case à cocher "je ne suis pas un robot" le sont tout autant. Par contre ça ne bloquera pas longtemps quelqu'un qui désire écrire un robot spécifique au site. Il suffit de retrouver le champ correspondant au texte "laissez ce champ vide". Security through obscurity, toussa.

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

          • [^] # Re: vu sur un blog...

            Posté par  (site web personnel) . Évalué à 2.

            Je lis depuis le début de ce journal qu'il y a des robots "génériques" et des robots qui ciblent un site spécifique. Ca veut dire quoi exactement des robots "génériques" ? Je ne trouve aucun exemple.

            Moi, je ne vois que des robots qui ciblent monsite.org et des robots qui ciblent tel ou tel script de forum (phpBB, SMF,...).

            Je ne vois pas l'interet de faire un bot générique qui remplirait aléatoirement tous les forms qu'il trouve sur le net. En tout cas je crois que tout le spam que je reçois sur mes differents projets provient de bots spécifiques à phpBB, dotclear,...

            Donc, si comme je l'imagine, les bots génériques ne courent pas les rues, quel est l'interêt de faire une vérification du type "laissez le champ suivant vide" ?

            • [^] # Re: vu sur un blog...

              Posté par  (site web personnel) . Évalué à 2.

              Des bots qui cherchent dans google des pages avec des mots clés genre « submit », « create », ... et qui remplissent les champs au pif avec des URL de sites de Q, ça se fait aussi ...

    • [^] # Re: vu sur un blog...

      Posté par  . Évalué à 3.

      Avec un coup de CSS, tu dois même pouvoir cacher le champ à tes lecteurs (qui ont un UA normal qui lit les CSS, autrement dit un browser et pas un bot).

      • [^] # Re: vu sur un blog...

        Posté par  . Évalué à 3.

        C'est même ce que le type a fait sur son site après s'etre rendu compte qu'il y avait beaucoup de gens qui remplissaient la case sans faire attention et qui étaient donc vu comme des robots

    • [^] # Re: vu sur un blog...

      Posté par  (site web personnel) . Évalué à 1.

      L'idée est intéressante mais je pense qu'il s'agit encore une fois d'une solution temporaire, le temps que les robots se mettent au point. En effet, il ne semble pas difficile de faire une analyse automatique de la phrase est d'en déterminer le sens. Si la phrase contient par exemple les mots "robots", "remplir" et une negation.

      • [^] # Re: vu sur un blog...

        Posté par  (site web personnel, Mastodon) . Évalué à 2.

        ben moi, au contraire, ça me semble fondamentalement compliqué de devoir faire ça, surtout que cette phrase sera différente d'un site à l'autre.

        Et si, comme qqn le suggère, on cache le champ avec la CSS, on n'a même plus besoin de mettre une explication.

        Le robot doit donc parser la CSS ! Faisable mais trop complexe pour être rentable !

        Mes livres CC By-SA : https://ploum.net/livres.html

        • [^] # Re: vu sur un blog...

          Posté par  (site web personnel) . Évalué à 2.

          ben moi, au contraire, ça me semble fondamentalement compliqué de devoir faire ça, surtout que cette phrase sera différente d'un site à l'autre.
          Comme déjà dit plus haut, soit on veut contrer les bots spécifiques à un site et dans ce cas ça sert à rien. Soit on veut contrer les bots qui s'attaquent à une "classe" de sites qui utilisent le même logiciel. Dans ce cas, il suffit de répertorier tous les champs à remplir. Pour les reconnaitre on peut se baser non seulement sur leur nom mais sur le texte qui les accompagne, leur ordre, leur taille,... Il risque d'être peu pratique de modifier tous ces paramètres aléatoirement à chaque requète. Après il suffit de ne pas remplir le(s) champ(s) dont on n'a pas trouvé la signification.

          Sans compter que si chaque admin de chaque site doit choisir lui même la phrase accompagnant le champ, je suis convaincu que la grande majorité des sites resteront vulnérables à une analyse simple avec quelques regexps. Si le texte est généré par le logiciel, ça risque d'être encore plus simple à trouver.

          Le robot doit donc parser la CSS ! Faisable mais trop complexe pour être rentable !
          Hu ? Patcher WWW::Mechanize pour qu'il utilise CSS::Parse ça parait pas trop complexe hein. Après si tu veux t'amuser à utiliser la CSS pour "déplacer" le texte en face du champ c'est autre chose mais alors ceux qui utilisent un navigateur ne supportant pas les CSS vont avoir des problèmes (et c'est contraire au principe même des CSS).

          pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Une idée simple...

    Posté par  . Évalué à 10.

    On pourrait récupérer quelques définitions de dictionnaire vraiment simples (comme arbre, fleur, etc.), et à l'inscription, demander à quel mot elles correspondent parmis une liste de 3 ou 4 au hasard. On pourrait même faire comme les spammeurs 1337 (D0 you.want v1agra ?)...
    Ou faire encore plus simple. Exemple : "Des pétales au bout d'une tige ?", et 3 checkbox : "Une fleur", "Un arbre", "Pierre Tramo".

    • [^] # Re: Une idée simple...

      Posté par  . Évalué à 2.

      Le robot peut lui aussi lire le dico :))

      Ca fait pas mal de taf (d'autant que Savane est traduit...) pour une solution contournable

    • [^] # Re: Une idée simple...

      Posté par  . Évalué à 1.

      C'est simple, mais très bien pensé.

      Je préfère ça à des mails de confirmation ou des images illisibles.

      • [^] # Re: Une idée simple...

        Posté par  . Évalué à 3.

        Malheureusement ca ne fait que 3 possibilités. Il suffit que le bot coche la 1ere case, et quil en valide 3 (en moyenne) pour faire passer 1 compte. Pour un bot ce n'est pas un probleme de poster 50 fois.

        • [^] # Re: Une idée simple...

          Posté par  (site web personnel) . Évalué à 5.

          Et en admettant qu'une même adresse ip ne puisse pas faire plus de 2 inscriptions par tranche de 5 minutes ?
          De plus, celà ne devrait pas gêner l'inscription de personnes derrière un proxie.

          Ca n'empêchera pas les inscriptions des robots, mais ils seront fortement limités. On peut même imaginer une liste noire automatique en cas d'abus répétés.

          J'anticipe en disant que les gens qui emploient ce genre de robots n'ont pas 150 ip différentes et que l'utilisation de proxies ouverts n'est pas si aisée que ça.

          • [^] # Re: Une idée simple...

            Posté par  (site web personnel) . Évalué à 3.

            Je pense que la solution est plutôt à chercher de ce côté. Autant laisser le formulaire le plus simple possible mais limiter le nombre d'inscriptions/min/IP avec une blacklist dynamique, empécher les X derniers pourcents d'utilisateurs inscrits d'effectuer certaines actions, n'activer le compte qu'après X heures,... L'idée c'est pas tellement d'éviter spécifiquement les bots mais d'éviter les abus en général.

            Si tu persistes à vouloir détecter les bots, va lire [0] qui prend l'approche inverse (comment créer un bot indétectable) mais qui donne plein d'idées pour contrer les bots "simples" (timing, "browsing pattern",...). Évidemment c'est plutôt à implémenter au niveau du serveur web (un module Apache par exemple) et ça marche que si on admet que la plupart des bots ne sont pas aussi sophistiqués que ceux décrits dans cette présentation.

            [0] http://www.spidynamics.com/spilabs/education/presentations/c(...)

            pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

            • [^] # Re: Une idée simple...

              Posté par  (site web personnel) . Évalué à 7.

              Une autre solution qui a l'air de satisfaire Google et ses utilisateurs est le système d'invitations.

              pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

              • [^] # Re: Une idée simple...

                Posté par  . Évalué à 1.

                Faut quand même une certaine masse critique pour que les invitations marchent. A moins de les faire distribuer par un admin dans un premier temps (suite à des demande par mail). On est limite dans les clous pour la deuxième condition

                • [^] # Re: Une idée simple...

                  Posté par  (site web personnel) . Évalué à 3.

                  Et puis tu crée un compte à la main, et les suivants par un robot qui s'envoie des invitations ...

                  • [^] # Re: Une idée simple...

                    Posté par  (site web personnel) . Évalué à 2.

                    Sauf que si tu gardes les relations "inviteur-invité" quelque part, dès que tu as un certains nombre d'abus pour les invités correspondant à un même inviteur, tu peux désactiver le compte de l'inviteur et ceux de tous ses invités récursivement.

                    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

                    • [^] # Re: Une idée simple...

                      Posté par  (site web personnel) . Évalué à 2.

                      C'est pas évident. Tu peux brouiller les pistes en ayant plusieurs robots modérés dans la chaine, et ne commencer à abuser qu'au bout du moment où tu as une énorme quantité de comptes.

                      Difficile de savoir quel est le premier robot dans la chaine.

            • [^] # Re: Une idée simple...

              Posté par  . Évalué à 2.

              Limiter le nombres d'inscription/min/ip avec blacklist dynamique OK mais pour le reste je ne suis pas pour.
              -"N'activer le compte que qu'après X heures" c'est super chiant pour les humains (si je m'inscris sur tel site pour utiliser tel service j'ai pas forcément le temps d'attendre X heures) et puis le robot ça ne le gène en rien, il postera sa merde avec du retard c'est tout.
              -"Interdire aux X derniers pourcents d'utilisateurs inscrits" d'effectuer certaines opérations, ça rejoint le premier point aussi, si je m'inscris sur un forum pour poster ou participer j'ai pas envie de me faire jetter parce que ça m'est interdit pour X heures.
              Alors forcément il y aura toujours des boulets dans le lot qui spamment avec leurs premiers messages et qu'on ne revoit plus jamais mais faut pas non plus que ça devienne chiant pour l'utilisateur honnête.

              • [^] # Re: Une idée simple...

                Posté par  (site web personnel) . Évalué à 2.

                C'est ce qui ce fait sur les forums de Doom9 par exemple : 2 jours de "quarantaine" pour :
                - lire les autres
                - comprendre l'idée du forum
                - comprendre la maniere de faire

                C'est frustrant au début, mais finalement je trouve pas mal : ca evite de debarquer d'un coup et foutre le bordel.
                (en plus d'emmerder les bots)

    • [^] # Re: Une idée simple...

      Posté par  . Évalué à 3.

      Le robot, il peut envoyer 3 inscriptions.
      Il repère le label "question anti robot", compte les checkbbox et envoie 3 messages.
      Quelques lignes de code dans un script à rajouter...

      • [^] # Re: Une idée simple...

        Posté par  (Mastodon) . Évalué à 3.

        Il faut bien sûr que la question soit aléatoire, pour qu'à chaque tentative on n'ait qu'une chance sur N ne tomber bon par hasard, où N est le nombre de réponses possibles.

        Le problème, c'est que même avec une chance sur 10, le bot peut très bien tenter de d'inscrire jusqu'à ce qu'il réussisse, et choisir une réponse parmis 10 est assez pénible pour l'utilisateur. L'avantage des mots à saisir, dans les CAPTCHA, c'est qu'il y a suffisemment de possibilités pour que faire des tentatives au hasard ne soit pas rentable.

        Le même test, avec des questions, mais où l'utilisateur doit saisir la réponse lui même au lieu de la choisir dans une liste, serait plus efficace, mais plus pénible pour les visiteurs. Par contre, la question peut être utilisée en complément d'une image, pour permettre aux aveugles de répondre sans inconvénient pour les voyants.

        • [^] # Re: Une idée simple...

          Posté par  . Évalué à 2.

          Et pourquoi pas un truc du genre une phrase assez longue dans laquelmle il faut remettre les mots dans l'ordre?

          par exemple:
          beau fait il matin ce
          "il fait beau ce matin"

          il reste a choisir des phrases suffisamment complexes pour qu'iun bot ne puisse rien y faire, mais pas trop pour qu'un humain puisse la reconstituer.

          • [^] # Re: Une idée simple...

            Posté par  (Mastodon) . Évalué à 2.

            À priori, comme l'analyse syntaxique est plus facile que l'analyse sémantique, je dirais qu'un ordinateur peut plus facilement former une phrase correcte que comprendre le sens de cette phrase. Je pense que poser des questions qui nécessitent de comprendre des phrases est plus résistant, mais c'est plus difficile à rendre suffisemment aléatoire.

            long auront par remettre si mal phrases les contre, à probablement du les dans humains l'ordre c'est :)

            • [^] # Re: Une idée simple...

              Posté par  . Évalué à 1.

              Je pense que des qu'on sort des schemas hyper classique du genre :
              "il fait beau ce matin"
              ou
              "la belle voiture rouge"
              C'est deja beaucoup plus dur a analyser par un robot.
              il faudrait generer une base avec des phrases de la vraie vie, prises dans des articles sur le web.

          • [^] # Re: Une idée simple...

            Posté par  . Évalué à 2.

            pas si bon que ca :

            car avec une recherche "google" ou
            une base litteraire consquente,

            tu as vite fais d'avoir le bon ordre.

            a+

  • # CAPTCHA

    Posté par  (site web personnel) . Évalué à 4.

    Ce n'est pas une question évidente du tout, et c'est même un domaine de recherche très actif. Va jetter un coup d'oeil sur http://www.captcha.net/ , je sais pas si tu y trouveras ton bonheur mais au moins leur manière d'aborder la question est très intéressante.

    • [^] # Re: CAPTCHA

      Posté par  . Évalué à 2.

      ou pas :

      http://sam.zoy.org/pwntcha/

      en pratique et pour avoir géré plusieurs systèmes à boulets potentiels (wiki, forums, jeux en ligne...), tu peux effectivement mettre des batons dans les roues des quelques robots qui tournent en aveugle (et te trouvent avec des requetes sur Google, par exemple) mais tu ne peux rien faire face à des gens déterminés. une fois qu'ils t'ont "trouvé", c'est foutu.

      une solution possible est de les empecher de nuire tout de suite, par exemple en ne leur donnant pas tous les droits (comme envoyer des mails) tout de suite... ou encore d'annuler toute contribution contenant certains mots clefs (herbal viagra et autres poker)...

      bon, après, ceux qui vont me dire "esprit wiki tout ça", faut savoir ce que vous voulez...

      • [^] # Re: CAPTCHA

        Posté par  (site web personnel) . Évalué à 4.

        J'ai l'impression que les gens ont pas compris ce que veut dire CAPTCHA. C'est pas une image bizarre avec des lettres, ça veut dire "Completely Automated Public Turing Test To Tell Humans and computers Apart'.
        Les images avec des mots sont une solution de Captcha, qui a été cassée depuis un moment. Si je recommande ce site web, c'est parce qu'il envisage le problème général de manière intéressante : le test de turing automatisé. D'ailleurs ils bossent aussi sur d'autres solutions, par exemple http://gs264.sp.cs.cmu.edu/cgi-bin/esp-pix
        Voir aussi comment ils ont rempli leur base de données, c'est assez génial.

        • [^] # Re: CAPTCHA

          Posté par  (site web personnel) . Évalué à 2.

          D'ailleurs ils bossent aussi sur d'autres solutions, par exemple http://gs264.sp.cs.cmu.edu/cgi-bin/esp-pix
          Voir aussi comment ils ont rempli leur base de données, c'est assez génial.


          C'est marrant au dirait un jeux, le but c'est de trouver le point commun entre les quatre images, perso je suis arrivé a en trouvé 1 sur 4...Faut que je m'améliore!

          (ps : ils aurait du mettre une liste de mot encore plus longue...)

        • [^] # Re: CAPTCHA

          Posté par  . Évalué à 4.

          "D'ailleurs ils bossent aussi sur d'autres solutions, par exemple http://gs264.sp.cs.cmu.edu/cgi-bin/esp-pix"

          Ouch, c'est dur leur truc.

          Merde, je passe pas le test de turing :/

        • [^] # Re: CAPTCHA

          Posté par  . Évalué à 2.

          oui, celui-là est plus évolué...

          mais ce qu'il se passe depuis des années (pour se créer des comptes Hotmail à la volée par exemple), c'est que les vilains méchants emploient tout simplement des humains payés quelques dollars de l'heure pour passer ces tests. ou les font remplir par des visiteurs qui veulent accéder ensuite à des sites de fesses, par exemple.


          donc tenter de discerner les humains des robots est un peu inutile. vouloir s'assurer de la véritable identité de nouveaux inscrits est déjà plus interessant.

          • [^] # Re: CAPTCHA

            Posté par  (site web personnel) . Évalué à 1.

            mais ce qu'il se passe depuis des années (pour se créer des comptes Hotmail à la volée par exemple), c'est que les vilains méchants emploient tout simplement des humains payés quelques dollars de l'heure pour passer ces tests. ou les font remplir par des visiteurs qui veulent accéder ensuite à des sites de fesses, par exemple.

            Oui alors entre un site qui laisse le bot faire 500 inscriptions par seconde et un site où le méchant doit mettre en place un système compliqué avec des gens pour récolter quelques inscriptions, il y a quand même un fossé...
            L'idée n'est pas de faire un système à la sécurité absolue, mais d'augmenter le coût de l'ouverture des comptes pour que l'utilisation frauduleuse ne soit plus rentable.

            • [^] # Re: CAPTCHA

              Posté par  . Évalué à 1.

              bah c'est ce que je disais plus haut, je faisais bien la distinction...

              ...mais j'insiste que dès qu'un méchant aura repéré un site apparement sans défense, il va revenir et revenir et revenir, et même s'amuser à jouer au chat et à la souris, à donner dans la course à l'armement, si le site en question commence à essayer de faire le ménage ou se protéger.

              pour lui, ce site n'est qu'une ligne dans un fichier avec tout un tas d'autres, rien de personnel. en fait, même, tu le distrais.

              et même quand il n'y aura plus d'enjeu pour lui, que ça ne sera plus rentable, parfois il reviendra tant que ça l'amusera ou qu'il sait qu'il fera chier son monde

              • [^] # Re: CAPTCHA

                Posté par  (site web personnel) . Évalué à 2.

                Oui enfin quand la plupart des sites web integreront des Captcha solides (au sens général), le boulot de spammeur (ou autre), deviendra nettement plus difficile. Du coup ces gens se tourneront vers d'autres solutions comme les virus, et le web sera un meilleur endroit.
                Dans un commentaire précédent, tu affirmes:
                donc tenter de discerner les humains des robots est un peu inutile. vouloir s'assurer de la véritable identité de nouveaux inscrits est déjà plus interessant.

                C'est là que je suis pas du tout d'accord : je pense au contraire que c'est très utile à moyen terme. Ce n'est pas un problème facile, d'accord, mais si à terme on arrive à un coût insupportable pour les spammeurs, on aura fait une avancée majeure.
                Là où le projet Captcha a du mérite, c'est qu'il cherche une solution générale alors que tout le monde développe sa petite solution plus ou moins boîteuse dans son coin. C'est encore plus dur, mais ils le font de manière ouverte, en proposant des challenges, et ils ont déjà pas mal avancé. Résultat les plus grands sites utilisent leurs méthodes.

                • [^] # Re: CAPTCHA

                  Posté par  (site web personnel) . Évalué à 0.

                  Là où le projet Captcha a du mérite, c'est qu'il cherche une solution générale alors que tout le monde développe sa petite solution plus ou moins boîteuse dans son coin.


                  Sauf que tant que cette solution n'existe pas, le coté "tour de babel" des moyens de protection est encore une option plutot bonne. Ca demande aux spammers d'adapter en permanence leurs outils aux nouvelles methodes.

                  S'il n'y a qu'une solution unique, elle à interet à être super-robuste car il y a un paquet de monde qui va tenter de la faire tomber. (Exemple la crypto)

                • [^] # Re: CAPTCHA

                  Posté par  . Évalué à 4.

                  payer un junkie pour créer des comptes toute la journée marche très bien depuis des années. il revient à quelques dollars par jour et se régale des miettes de la drogue que son employeur s'envoie, et d'un petit site de fesses pour les pauses.

                  alors comme "coût insurmontable", j'ai vu mieux.

                  dans le même style, les jeux en ligne à la Everquest ou WoW ont leurs "farmers" depuis des années, des joueurs qui passent leurs journées à tuer certains monstres à des endroits précis pour récupérer des objets et... les revendre contre des vrais dollars. et surtout sabotent le jeu d'une manière générale. donc sont des nuisibles.

                  une fois que les robots seront trop chers, on utilisera des chinois, et ce n'est pas ça qui manque.

  • # Non à la ségrégation

    Posté par  . Évalué à 9.

    Je trouve cela inadmetable et innaceptible qu'à notre époque, le début du XXI ème siècle, des gens fassent encore de telles distinctions. À quoi auront donc servi toutes ces personnes qui se sont battues (ou se battent encore) contre les discrimination, si l'on en introduit de nouvelles.

    Les robots sont des humains comme les autres, ce n'est pas parce qu'ils n'ont pas de corps ou une couleur grise qu'ils sont inférieurs aux autres !

    • [^] # Re: Non à la ségrégation

      Posté par  (Mastodon) . Évalué à 7.

      Tu es en train de dire que du point de vue d'un administrateur d'un système quelconque, un robot peut sembler bien plus intelligent que beaucoup d'êtres humains ?
      Et que, ceci étant admis, il aurait autant sa place que des êtres de chair et de sang à l'intérieur du système, par simple respect pour ses capacités à utiliser ce système ?

      Yth.

      • [^] # Commentaire supprimé

        Posté par  . Évalué à 6.

        Ce commentaire a été supprimé par l’équipe de modération.

  • # bots don't pay

    Posté par  . Évalué à 9.

    Facile : il suffit de demander au créateur du compte de verser 1 E. par paypal :-) (qui pourrait lui être rendu en cas de bon comportement)

    oui, bon, je sors ------->

  • # Facile

    Posté par  . Évalué à 6.

    Tu attends la réponse à une question posée en langage SMS. Vu le mal que j'ai à le lire, je ne pense pas qu'un robot soit capable non plus de le faire...

    Bon, la conséquence facheuse, c'est que tu vas attirer des utilisateurs dont tu te passerais surement....

  • # solution mixte

    Posté par  . Évalué à 10.

    Si on part du principe que l'image a reconnaitre est une solution fiable contre les bots.

    D'après les stats, en France, la proportion du nombre des aveugles à la population est de un sur mille cinquante, ce qui donnerait environ trente mille quatre cent cinquante aveugles.

    Il est concevable de considérer que l'inscription peut se faire avec une protection par image et de prévoir une solution alternative d'inscription de validation par un administrateur pour des cas qui resteront très très rares.


    PS: URL des stats http://www.piranesia.net/francaispeints/tome4/02pauvres/10or(...)

    • [^] # Re: solution mixte

      Posté par  (site web personnel) . Évalué à 3.

      sinon une solution supplémentaire a base de sons, en esperant que personne ne soit sourd ET aveugle.

      • [^] # Re: solution mixte

        Posté par  . Évalué à 2.

        Ca me parait beaucoup de travail pour un cas rare (et qui peut ne jamais arriver)

        Et puis, une analyse d'un fichier sonore est une chose possible à faire. Il ne faut pas que l'inscription secondaire soit accessible à un bot :-)

    • [^] # Re: solution mixte

      Posté par  . Évalué à 0.

      Des stats de 1841 basé sur des évaluations à la louche, très fiables tes stats !

  • # Le sens des mots.

    Posté par  . Évalué à 1.

    Ce qui nous differencie par rapport a la machine, c'est la capacite a organiser les mots selon leur sens pour en faire des phrases coherentes.

    L'idee est simple :
    Il suffirait d'avoir une base avec des phrases simples mais pas trop.
    Ensuite une (ou plusieurs) question avec 4 checkbox :
    Sur les 4 possibilites, 3 ou les mots de la phrase ont ete melangee aleatoirement, et la phrase d'origine.

    En mettant par exemple 3 questions comme ca, ca doit etre assez resistant.
    Bon apres evidemment ca ne passe pas la barrierre de la langue,
    mais ca marche pour les aveugles.

    • [^] # Re: Le sens des mots.

      Posté par  . Évalué à 1.

      Mais ca ne résiste pas à une attaque pifométrique.

      dommage, Same player shoot again ;-)

      PS :Insert coin !

      • [^] # Re: Le sens des mots.

        Posté par  (site web personnel) . Évalué à 2.

        Si. Les probabilités de tombé juste après 10 questions est quasi nul.

        Sur 10 choix multiples de 4 entrée, cela donne : 0.25 chance de tombé juste par hasard pour une question et 0.25^10 (1 chance sur 1 millions) pour 10 questions...

        Les questions pourrait être des phrases sorties de textes simple. Les fausses réponses étant des permutations de mots ou de locutions qui donnerait des phrases sans sens.

        "La première sécurité est la liberté"

      • [^] # Re: Le sens des mots.

        Posté par  . Évalué à 2.

        Ok d'accord mais dans ce cas la, aucune solution qui ne soit pas basee sur image, ou confirmation par mail ne marche.
        N'importe quelle technique peut etre brute forcee, meme avec des chiffres sur une image sauf que c'est long.

        Sinon il suffit de multiplier le nombres de questions.

        Avec 10 questions, au pifometre on est deja a 1 validation pour un million d'essai. Je ne sais pas a partir de combien on peut dire que c'est resistant a des bots qui ont du temps devant eux.

        Apres c'est sur que c'est un peu embettant ce questionnaire, plus qu'une image. Dans ce cas la il faut reserver une procedure speciale comme ceci pour les aveugles mais il faut mettre beaucoup de questions car c'est ce point faible que vont exploiter les bots.

        • [^] # Re: Le sens des mots.

          Posté par  (Mastodon) . Évalué à 2.

          N'importe quelle technique peut etre brute forcee, meme avec des chiffres sur une image sauf que c'est long.

          Les méthodes qui nécessitent d'entrer un mot, comme la plupart des systèmes d'images, c'est beaucoup plus résistant aux attaques pifométriques, à niveau d'emmerdement égal (pour l'utilisateur). Taper un mot entre 5 et 10 lettres, c'est relativement peu chiant, et le nombre de mots possibles ayant entre 5 et 10 lettres est très élevé, même si on se limite aux mots qui ont un sens. Jouer au hasard à deviner un mot de 8 lettres, ce n'est vraiment pas rentable. Ça revient à un QCM avec 8 questions de 26 choix chacune !

          Par contre, si on pose des QCM, on est obligé d'en poser un certain nombre pour que ça devienne résistant, et il faut s'assurer qu'un humain ne risque pas de se tromper occasionnellement, parce que si on lui demande de se re-taper un formulaire de dix questions à chaque fois qu'il se plante...

      • [^] # Re: Le sens des mots.

        Posté par  (site web personnel) . Évalué à 1.

        Pour les attaques pifométriques à répétition, je viens de penser à la solution suivante. Elle n'attend bien sûr que vos critiques.

        Coté serveur, lors de l'affichage de la page d'inscription, on génère une clé aléatoire de 128bits (ça devrait suffire :p), qu'on stocke en DB, associée à l'IP du client. Cette clé est également mise en input "hidden" dans le formulaire d'inscription.

        Une réponse ou une clé incorrecte au moment de la validation désactive toute possibilité d'inscription depuis cette IP pour 24 heures.
        Si la réponse était correcte, d'autres inscriptions peuvent se faire.

        Une tâche en cron peut nettoyer la DB des entrées ayant plus de 24 heures.

        On peut réduire la durée de la "punition", si trop d'utilisateurs ont tendance à se tromper.

        Il faut aussi faire attention à ne limiter les inscriptions que pour les adresses qui ont effectivement tenté leur chance, pour éviter que deux chargements de la page d'inscription ne désactive toute possibilité d'aller plus loin.

        Évidemment, ça ne répond qu'au problème des essais/erreurs, et pas au genre de question qu'il faut poser à l'utilisateur pour le distinguer d'un bot.

  • # Questionnaire

    Posté par  (site web personnel) . Évalué à 2.

    Je ferais une liste de questions hyper simple pour un humain. avec beaucoup de choix voir une case à remplir (pour augmenter la combinatoire).

    Et je poserais un bloc de question.

    La probabilité de tombé juste à toutes les questions pour un robot est quasi nul. Mais il faut un certain nombre de question pour éviter l'enregistrement de réponse.

    Genre :
    Combien y'a-t-il de jour dans l'année ?
    Combien y'a-t-il de jour dans une semaine ?
    Qu'est-ce qui sert à découpé du papier ? - ciseau -scie -cisaille
    Qu'est-ce qui sert à découpé du bois ? idem ...

    "La première sécurité est la liberté"

    • [^] # Re: Questionnaire

      Posté par  . Évalué à 1.

      Le probleme c'est remplir la base avec enormement d'entree, sinon je regarde a la main toutes les reponses possibles a tes questions et apres j'apprends a mon bot comment repondre.

      • [^] # Re: Questionnaire

        Posté par  (site web personnel) . Évalué à 2.

        Dans ce cas, tu montres une nouvelle question que si la précédente est juste et tu modifies peu les questions pour une même IP. Et tu joues avec une blackliste dynamique au bout de qq essais pour empécher de parcouris la base en qq heures.

        "La première sécurité est la liberté"

  • # Propal ?

    Posté par  . Évalué à 0.

    Une solution à la con mais en liaison avec un commentaire plus en haut.
    Tu proposes "Je confirme", "Je ne confirme pas"
    Mais dans la construction de l'input type, tu génères un "name" et "id" aléatoire.
    Puis tu cryptes la vraie valeur du "Je confirme" dans un input type hidden.
    Tu récupères les deux, tu décryptes l'un, tu compares les deux, si c'est OK, tu valides.

    Bon, le robot peut essayer de se connecter plusieurs fois et refaire le formulaire jusqu'à ce qu'il tombe sur le bon (une chance sur deux si récupération du statut, ou bien aléatoire)
    Ca rajoute un truc supplémentaire chiant

    • [^] # Re: Propal ?

      Posté par  (Mastodon) . Évalué à 5.

      Comment est-ce que tu fais savoir à l'utilisateur sur quel bouton cliquer pour confirmer, sans qu'un robot puisse le savoir ?

      • [^] # Re: Propal ?

        Posté par  . Évalué à 3.

        Bah, par le message "Cliquer ici pour confirmer" ...

        Si t'as deux input type checkbox dont le name et l'id sont cryptés, un bot pourra pas savoir.

        Cependant, il pourrait lire le content juste après et savoir ... hmmm! ok ...
        Un truc avec javascript et display au bon endroit ?

        Bon, bah finalement, je m'apercois que c'est pas réalisable ou bien c'est relou :-\

        Oubliez ce que j'ai dit :-\

  • # différentes pistes

    Posté par  . Évalué à 2.

    Le but est de savoir différencier un robot d'un humain, en gros.

    Donc il faut savoir les différences entre ces deux espèces.

    Etant donné que l'IA évolue, les robots vont de toute façon toujours tendrent à égaler les humains. Donc toutes les solutions qui peuvent être trouver ne seront que temporaire. C'est un fait à ne pas négliger.


    Basons nous donc sur les limitations des bots actuellement :

    1) Il ne savent probablement pas bien interpréter les images.

    On peu donc se baser sur des images comme cela se fait, ou d'autres solutions visuelles comme cela à été proposé pour les dessein en ASCII.

    2) les robots ne savent pas actuellement gérer les sons :

    Effectivement la solution des sons peut être interessante, mais finalement pas plus que les images par exemple. Un sourd ne pourra pas entendre le son.
    Et les robot finiront bien par savoir lire les sons.

    Donc c'est une solution un peu compliqué à mettre en place (les sons ne sont pas bien géré sur le web en général actuellement) et qui n'apporte pas grand chose.


    3) Il n'ont pas la notion de sens d'une image ou d'un mot ou d'un son :

    On peut donc se baser sur la compréhension d'une définition, sur la traduction d'un terme, sur l'utilisation de synonymes. On peu également se baser sur la signification des images, avec par exemple l'image d'un arbre, ou l'image d'un oiseau.... On peu également se baser sur la signification des sons (un bruit de vent, un bruit de vagues ou de moteur...)

    Ces solution on un désavantage : les interprétations peuvent varier d'une personne à l'autre. Par exemple si une image représente un oiseau, certain pourront dire par exemple un merle, ou une pie etc....
    Il faut donc accompagné la fonction d'une notice d'explication... ce qui peut être mal perçu par l'utilisateur.

    En plus une telle solution est nettement plus compliquée à traduire, surtout pour le définitions ou les synonymes.

    Certains proposaient l'utilisation de checkbox pour ce genre de solutions, mais cela rend alors trop probable le succès pour un bot faisant un choix aléatoire, et ce n'est donc pas acceptable.


    Je pense en conclusion que les meilleurs solution qui j'ai pu voir sont celles du 3). Le problème des aveugles, sourd ou autres peut être à mon avi résolu en proposant deux ou trois solutions d'identifications au choix. Si les trois méthodes sont aussi sécurisantes les une que les autres, ca ne devrait pas poser de problème.


    De plus, un avantage qu'on les robots c'est leur capacité a tester indéfiniment jusqu'au résultat. Il faut donc pouvoir contrer ces accès de force en limitant le nombre de tentatives. Se baser pour cela sur l'adresse ip n'est pas forcemment une bonne solution car par exemple deux personnes d'un même réseau peuvent avoir sur le net la même adresse ip. Il ne faut donc pas uniquement se baser sur l'ip. On pourrait completer le controle avec un systeme de session, mais je n'ai pas de proposition plus précise à ce sujet pour le moment.

    Voila, c'était mes deux balles de contribution :)

  • # Serveur Central

    Posté par  (site web personnel) . Évalué à 2.

    J'ai toujours révé d'un login/mdp unique pour tous les sites que je consulte. Ca irait plus vite...

    On déplace le problème sur le serveur central. En centralisant ca dans un serveur central qui ne fait qu'authentifier la première connexion, apres l'utilisateur est considére comme inscrit dans le site.

    Sur le serveur central, l'utilisateur passe une batterie de tests pour determiner son humanité, mais une fois pour toute.

    Chaque utilisateur se voit attribuer un nombre de points.
    Un site peut reporter un utilisateur comme Spammeur.
    Si l'utilisateur est à 0 points => Tous les sites auquels il est inscrit sont notifiés. (il peuvent effacer automatiquement ses traces.)

    Tests de reconnaissance auditives (mot, sens, langue), visuelles (distortion de texte, Illusions d'optiques), questionnaire de 50 questions de "bon sens" puisé aléatoirement dans une base de plusieurs milliers. Verif Mail avec utilisation d'une greylist pour verifier les mails, 1 essai max par IP par semaine, etc...
    La totale.

    On peut se permettre des methodes d'authentification très fortes et combinés, ca me derangerait pas de m'authentifier pendant 10 mn, que ca dégage les spammeurs de tous les forums du web et si c'est une fois pour toutes.

    • [^] # Re: Serveur Central

      Posté par  . Évalué à 2.

      ca me derangerait pas de m'authentifier pendant 10 mn, que ca dégage les spammeurs de tous les forums du web et si c'est une fois pour toutes.


      Je pense que ça c'est un point important.
      Quel est la limite acceptable pour les humains d'une part et pour les bots d'autre part.


      Pour un humain, est-ce que il sera pret à passer 10 minutes a s'identifier pour poster un message sur un forum ? Et pour s'inscrire à un compte banquaire ?



      Pour un bot, est-ce qu'il sera rentable que le bot passe trois jour pour créer un compte sur un forum pour le spammer.....


      Dans tous les cas il y a des limites acceptables.

      Je pense que l'on arrivera jamais a trouver un moyen 100% fiable pour empêcher un bot.
      Par contre on peu rendre le fait de contourner le controle inutile.
      Si on se débrouille pour que le fait de créer un compte pour un bot dure 2 jours, ca devient beaucoup moins rentable de faire des bots.

      Mais évidemment il faut pas que ça rende l'inscription insupportable pour les humains.

      Il faut donc comme le disait je ne sais plus qui contrer l'action des spammeurs sur toute la ligne et pas seulement sur l'inscription. Il faut se débrouiller pour qu'il ne soit plus rentable de faire du spam.

      Les systèmes de notations peuvent être intéressant. Si quelqu'un spam, sa note est baissé, et s'il atteint une limite son compte est désactivé.

      Des système de timing sont aussi possible. Il ne doit pas être possible de faire plus de x actions dans l'heure.....

      tout dépend après du type de compte en question.

      ++

    • [^] # Re: Serveur Central

      Posté par  (site web personnel) . Évalué à 1.

      on crée son compte sur un serveur qui gére du SSO
      et quand on veux créer un compte sur un site qui gére le bouzin,
      tu donne ton :
      - serveur sso
      - ton identifiant
      - ton mot de passe
      (jabber ?)

      le probleme c'est de 'certifier' le serveur
      sinon, il suffit de monter son serveur qui repond toujours 'oui'

    • [^] # Re: Serveur Central

      Posté par  . Évalué à 2.

      Sur le serveur central, l'utilisateur passe une batterie de tests pour determiner son humanité, mais une fois pour toute.

      Et qui aurait en charge ce serveur central?

      Et ce serveur, il serait capable d'identifier toutes les requêtes que tu aurais passées pour t'envoyer de la publicité ciblée, etc ...

      • [^] # Re: Serveur Central

        Posté par  (site web personnel) . Évalué à 1.

        " toutes les requêtes que tu aurais passées..."
        Le serveur central ne trace rien. Il a la liste des utilisateurs et la liste des sites auquels ils sont inscrit. Le site ne vérifie pas l'authentification pas à chaque fois mais une fois pour toute.

        Mais oui, L'idéal étant de le faire gérer par la EFF plutot que par une société à but lucratif...

    • [^] # Re: Serveur Central

      Posté par  (site web personnel) . Évalué à 3.

      Ca s'appelle du "Single Sign On" et c'est plus ou moins implémenté actuellement par MS Passport et Liberty Alliance (entre autres?). Évidemment c'est bien plus facile à imaginer qu'à réaliser.

      http://www.projectliberty.org/
      http://www.passport.net/

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

      • [^] # Re: Serveur Central

        Posté par  (site web personnel) . Évalué à 2.

        ""Single Sign On" et c'est plus ou moins implémenté actuellement par MS Passport et Liberty Alliance"

        Et par le nouveau truc de sir bill gates cf : http://www.theinquirer.net/?article=29751

        Le probleme, outre d'etre géré par des société à but lucratif, est le fait que c'est sensé servir aussi à un paquet d'autre chose que d'empecher le spam des sites et forums. (signature electronique, remplacant de CB, outil de tracage, etc...)

        Ici le serveur central n'aurait qu'un et un seul but, j'ai nommée :

        L'identification humaine

      • [^] # Re: Serveur Central

        Posté par  . Évalué à 2.

        Le problème c'est qu'en cas de faille de sécurité, tous les compte sont compromis et pas seulement ceux d'un site précis.

  • # Faire faire une somme avec résultat texte

    Posté par  (site web personnel) . Évalué à 3.

    Tu peux t'inspirer du Wiki Python-fr ( http://wikipython.flibuste.net/moin.py/FrontPage ).

    Lors del'édition d'une page, on a un petit champs à remplir en bas, avec une somme simple à calculer (genre trois plus quatre) et le résultat à rentrer sous forme de texte aussi (pas de chiffre).

    Inconvénient: c'est dépendant de la langue, et il faut un peu de souplesse (dix sept, dix-sept...).

    Tu peux demander à William Dodé son algo.

    Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

  • # de quel couleur était le cheval blanc d'henri IV ?

    Posté par  . Évalué à 9.

    .. un bot peut il répondre à une question de logique ? :)

  • # Cumuler les avantages de deux techniques

    Posté par  . Évalué à 4.

    Si tu veux quelquechose de raisonnablement sûr et qui n'excluera quasiment personne, tu peux tenter cette approche :

    - d'un coté, un test CAPTCHA classique avec une image
    - de l'autre côté, avec le même code que le CAPTCHA, un fichier sonore mis à disposition généré directement via voiceXML.
    - un champ classique pour permettre à l'utilisateur de rentrer le code trouvé par l'un ou l'autre des moyens proposés.

    Intérêt de cette approche : Les aveugles ne sont pas exclus, puisqu'il y a le son. Les sourds et malentendants ne sont pas exclus non plus, puisqu'il y a l'image.

    Bien sûr, le pauvre type qui est aveugle ET sourd aura bien du mal, mais même sans toi il en aurait déjà de toute manière. Une personne aussi dépendante aura forcément une personne valide pas trop loin d'elle pour l'aider si besoin.

    Ca peut être une solution pour toi, si tu n'as pas peur de sortir le bazooka pour avoir un bon niveau de filtrage donc.

    • [^] # Re: Cumuler les avantages de deux techniques

      Posté par  . Évalué à 2.

      «Bien sûr, le pauvre type qui est aveugle ET sourd aura bien du mal, mais même sans toi il en aurait déjà de toute manière. Une personne aussi dépendante aura forcément une personne valide pas trop loin d'elle pour l'aider si besoin»

      Ou alors c'est un type qui utilise un navigateur en mode console et qui a pas de carte son ou de haut parleur.

      Mais bon, si les sites de developpement collaboratif de programmes libres se mettent à pas vouloir exclure les geeks, où va-t-on ?

  • # Un truc que les robots n'arriveront jamais a passer.

    Posté par  . Évalué à -1.

    Il faudrait un truc genre test de QI qu'on trouve sur certains sites, avec une dizaine de questions aleatoires.
    Par contre il faut une grosse base de questions.

    Le probleme c'est que ca risque d'etre tres gavant pour s'inscrire, et peut-etre que des utilisateurs n'arriveront pas a s'incrire :)

  • # Juste comme ça...

    Posté par  . Évalué à 2.

    Il y a des systèmes qui décriptent la plupart des captcha sans le moindre problème, donc garre...
    http://sam.zoy.org/pwntcha/

    Pour le son, merci, mais tout le monde n'a pas la possibilité d'écouter du son quand il s'inscrit (fac/entreprise, machine sans carte son (sisi, ça existe)...)
    Et très franchement, moi ça me pomperait de devoir écouter un morceau de musique juste pour une inscrition web...

    Donc à part un bon captcha et une validation mail automatisée, je ne vois pas...

  • # Un peu comme les fortunes

    Posté par  . Évalué à 2.

    Des Charades !!!
    Ou des questions genre "qui est le troisième préz de la cinquième ?"

  • # Blade Runner ...

    Posté par  . Évalué à 4.

    Tu embauches Rick Deckard pour qu'il valide les inscriptions ...

    (pour ceux qui connaissent pas: http://fr.wikipedia.org/wiki/Blade_Runner_%28film%29 )

    • [^] # Re: Blade Runner ...

      Posté par  . Évalué à 2.

      Dangereux :
      «
      Leon: My mother?
      Holden: Yeah.
      Leon: Let me tell you about my mother...
      [Leon shoots Holden]
      »

  • # Truc bête (proposition n°42)

    Posté par  (site web personnel) . Évalué à 2.

    On a eu (un peu) la même problématique (après un passage de spam assez violent) pour notre formulaire d'inscription à la bouffe du Jeudi.

    Et un des phpéteur a eu une idée de génie : on doit préciser le nombre de personne (liste déroulante pré-remplie à 0). Ra-di-cal.

    Ça n'empêche pas la mail de confirmation ensuite, pour valider adresse email et mot de passe. Voilà un peu d'eau au moulin.

    Proverbe Alien : Sauvez la terre ? Mangez des humains !

  • # une suite logique

    Posté par  . Évalué à 2.

    enfin une... des
    du genre 1 deux 3 quatre X Y
    que vaut X
    que vaut Y

    questions a réponses multiple
    6 + 2 =
    A : 8
    B : 7+1
    C: 8-7
    D : 9-1
    E : 2x4

    1 2 3 5 8 13 21 34 X Y
    que vaut X
    que vaut Y
    avec une notice explicative disant qu'a chaque nombre on ajoute le précédent
    puis avec une petite base dans ce gout la, tu en prends 2-3 au hazard

    cases à cocher: avec un text du style en raison d'un grand nombre de bots, veuillez cocher deux case / 3 et faire une serie de 12 boites

    ordonancement de listes pour ranger les chiffrens dans l'ordre (dé)croissant
    varier au maximum les suites logiques

    en gros, le but est de tirer 2-3 tests au hasard, et ploquer 24H les IP qui tentent de s'inscrire ( et ratent ) 3x de suites
    Multiplier les questions simples, mais de styles différents pour dérouter les bots...

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: une suite logique

      Posté par  (site web personnel) . Évalué à 2.

      > 6 + 2 =
      > A : 8
      > B : 7+1
      > C: 8-7

      Ca prend quelques lignes à résoudre en python ou en ruby. C'est quasiment ce qu'il pourrait y avoir de plus facile à faire par un robot pour peu qu'il soit développé pour.


      > 1 2 3 5 8 13 21 34 X Y
      > que vaut X
      > que vaut Y
      > avec une notice explicative disant qu'a chaque nombre on ajoute le précédent
      > puis avec une petite base dans ce gout la, tu en prends 2-3 au hazard

      Là tu tombes dans le jeu de notices explicatives. Un humain passe, il fait quelques tirages, lit les notices, les implémente dans un robot (quelques lignes de script en général, pas plus), et tu as un robot qui passera tous les tests générés avec moins d'erreurs qu'un humain.
      Ta seule protection tiendra au nombre de "jeux" possibles (si tu en as deux ou trois tu n'as aucune protection, si tu en as 2000 ça fonctionnera mais il te faudra passer un temps monstrueux à tout faire)


      A la base tout ce qui est mathématique peut être oublié, les programmes sont très bons à ça. Les tests ne peuvent se reposer que sur
      - une reconnaissance (orale, visuelle, ...) là où l'informatique est encore à la traine derrière l'humain
      - une connaissance de l'humain (alors que le robot ne fait que des calculs)
      - une compréhension du sens ou des implications (les robots ne savent pas faire)

      Le problème c'est que dans le premier cas l'informatique a fait de gros progrès et les robots deviennent très efficace et très difficiles à mettre en échec.
      Dans les deux autres cas on risque que l'humain n'ai pas la connaissance souhaitée (type le blind test musical, vous pouvez être sûrs que j'échoue même sur des trucs évidents). On a aussi le problème de la génération des questions : aucun robot ne pourra créer une question/réponse de toute pièce, il faudra donc se reposer sur une collection de questions/réponses faite par un humain. Non seulement elle risque d'être longue à faire, mais un robot initialisé avec une part conséquente des réponses (trouvées et notées par un humain) finira par réussir.

      • [^] # Re: une suite logique

        Posté par  . Évalué à 1.

        évidemment si on programme le robo spécifiquement pour un site, il va en général être capable de passer.
        Ma proposition est de varier au maximum le type de test ( et si possible qui se ressemblent )
        On peux aussi varier les test existant sans trop se compliquer la vie ( par exemple, pour la première question préciser que l'on ne veux que les additions...

        Forcément, si quelqu'un fait un bot juste pour le site, il faut aller plus loin mais là il vaut mieux demander une adresse mail valide ( avec confirmation d'inscription ) en blacklistant tous les jetable.org et autre, et limiter a 1 inscription par heure par domaine

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # Et la protection de linuxfr.org n'est pas solide ...

    Posté par  . Évalué à 2.

    selon http://sam.zoy.org/pwntcha/ :


    Weaknesses: constant font, aligned glyphs, no rotation, no deformation, non-textured background, weak colour variation, weak perturbation.

  • # Un email avec des directive?

    Posté par  (site web personnel) . Évalué à 1.

    Une demande de confirmation par email, comme cela existe déjà, mais en ajoutant dans l'email une directive sur qq chose à modifier dans la réponse (ie. que ça ne soit pas un simple reply-to mais nécessite l'utilisation de neurones).

    Genre supprimer la x ième ligne... dupliquer la n ième... ajouter le contenu de la n ième ligne de la page à l'url trucmachin...

    [en ayant bien sûr diverses possibilités, et diverses façons de les exprimer]


    [bon, sûr que s'ils paient qq'un pour le faire à la mano, aucune solution "simple" ne sera possible]

    Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN

  • # Une technique qui marche pas mal

    Posté par  . Évalué à 1.

    Liste de mots avec extraction du mot générique :
    Tout d'abord il faut se constituer une liste de mots dans une base de données, des mots tous simples et els organiser suivant plusieurs critères. Par exemple genre, forme, couleur, taille, classe générique.

    Ensuite pour confirmer l'email on envoit une liste des mots avec un critère commun et une question.

    Par exemple :

    Pivoine, Geranium, Lys, Iris, Rose

    Sont : Oiseaux ?, Fleurs ? , Outils ?, Logiciels, Monuments ?


    Ou encore


    Petits pois, sphere, CD, roue

    Sont : Carré ?, Long ?, Ovale ?, Rond ?


    Si on a un bon nombre de critères et une grosse base d'objets, ca limite les création par robot pendant un moment.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.