8722 sujets

Développement web côté serveur, CMS

[A résoudre ?] Question de captcha

Pages :
(reprise du message précédent)

Comme ça, théoriquement ça marche dans tous les cas de figures, non ? Le seul hic serait que le bot comprenne la phrase à cliquer mais on part dans l'idée qu'il ne va pas suivre le lien... sauf s'il est assisté, d'où l'intérêt d'une phrase aléatoire pour empêcher au maximum l'automatisation.

Du coup :
- on ne dépend pas de l'activation ou pas de JS, des cookies, des CSS, etc.
- on ne dépend pas de la compréhension ou pas d'une question à laquelle il faut répondre, question plus ou moins compliquée
- on ne dépend pas de la possibilité d'un passage OCR sur un mot-image, lequel pose surtout un gros problème aux UA-visiteurs "non-images"

En revanche on rajoute un click supplémentaire mais c'est pas dramatique au regard du gain.

En fait il faut 3 pages :

- Page 1 : le formulaire (accessible à tous)
- Page 2 : crée la session (reroute vers autre chose si la valeur pour créer la session est absente) et propose de cliquer sur un lien genre : voulez-vous valider votre message ?
- Page 3 : page "transparente" (header(location:.....) qui écrit le message là où il faut, détruit la session et clôt le cycle anti-spam.
Arsene a écrit :
Le seul hic serait que le bot comprenne la phrase à cliquer mais on part dans l'idée qu'il ne va pas suivre le lien... sauf s'il est assisté, d'où l'intérêt d'une phrase aléatoire pour empêcher au maximum l'automatisation.
Ou s'il comprend des éléments de la langue ( enfin il doit pas y en avoir beaucoup quand même ) il continuera aussi ... Peut-être que des phrases à la Yoda l'embêterait plus mais en même temps il faut que ça reste compréhensible. Smiley lol
salut à tous

je viens de lire ce topic et ma solution va peut-être tomber comme un cheveu dans la soupe Smiley murf , mais comme en général lorsque l'on valide un formulaire il faut être identifier j'avais commencer à travailler sur une solution "sans Capcha".

En utilisant le php , je n'inclus les parties formulaires et autre submit que lorque le visiteur est identifié (cela implique une session pour toutes les page où cela est nécessaire).

Avec un test genre :

if(!isset($_SESSION['nom'])) {
	echo 'pour poster vous devez vous ';
	?><a href="#identification"> identifiez</a><?php
}
// si existe , c'est que utilisateur est identifié ==> affice le 
// fomulaire d'ajout de commentaire 
else {
	echo 'utilisateur : ' . $_SESSION['nom'];
	?><!-- Partie Html -->
	<form action="" method="post">
	 <p>
	 <label for="textelibre">Ajouter un commentaire :</label>
	 <textarea name="textelibre" value=""></textarea>
	 </p>
	 ...ect


On peut bien entendu simpliflier la 2ème partie en indiquant d'inclure un formulaire.inc.php par exemple si l'identifiant existe dans la session

les robots ne pouvant s'identifier ils ne pourront pas utiliser le formulaire ; re Smiley murf

J'ai pas eu le temps d'approndir cette "méthode" alors j'ai pas de retour faible la concernant ...
enfin bon , je suis peu être hors sujet Smiley rolleyes
Modifié par kzone (27 Aug 2007 - 22:24)
kzone a écrit :
enfin bon , je suis peu être hors sujet Smiley rolleyes
Un peu oui. Ta "solution" ne fait que reporter le problème sur la création du compte. Smiley cligne
salut tout le monde


pour les captchas, c'est peine perdu.empirisme oblige, les bots sont de plus en plus intélligent quant aux crackers, ils sont même un cran au dessus...cf: les messages de coucou747 sur phpcs et sur le sujet.pour
être convaincu de n'inutilité des captcha voir du côté de phpBB ou autre utilisant les mêmes bases, armes...

après des mois de tests, il semble que les seules solutions viables soient les filtrages stricts des entrées et une question toute bête du genre 10x6, quel est son résultat.

a écrit :
Le seul hic serait que le bot comprenne la phrase


pas de soucis dans un avenir...presque révolu...mais c'est franchement pas encore çà, merci pour nous.on à encore quelques beaux formulaires à leurs mettre dans l'OS.

pour résumé, après avoir lutter longtemps contre ces saloperies de bots néfastes, des filtres tableaux php alliés aux constantes sur les valeurs sensibles, une question typiquement humaine qui change chaque mois et le problème est résolu jusqu'à la prochaine évolution...avec cette solution plus de problèmes de bots.ils n'ont pas encore résolus le résultat mathématique, car en fait, c'est réellement ce qui les à arrétés.les tableaux sont en fait une sécurité pour le filtrage, ces enfoirés sont capables d'envoyer quarante fois le même bouton radio...bien utilisés, les tableaux php et le in_array de php bloque ce type de soumission et empêche aussi les injections d'header.

if(!isset($_SESSION['nom'])) {
	echo 'pour poster vous devez vous ';
	?><a href="#identification"> identifiez</a><?php
}


pas suffisant comme contrôle mais pertinent quand même Smiley cligne en appliquant le même principe mais avec, évidement, des conditions autres, çà le fait bien aussi!

bien pensée, les sessions sont aussi une solution mais, là encore, tout est question de configuration du serveur hébergeant et de...scripts Smiley cligne
Pages :
Sujet clos
Aller à