1174 sujets

Accessibilité du Web

Captcha, une fatalité ?

Pages :
Modérateur
Bonjour,

Je m'interroge actuellement sur l'utilisation d'un système CAPTCHA, que ce soit dans les forums, les formulaires de commentaires ou sur des sites transactionnels.

Je crois que la plupart des membres ici connaissent les problématiques des systèmes CAPTCHA :

- Le navigateur doit être en mesure d'afficher l'image
- L'image doit être assez complexe pour que les bots ne reconnaissent pas les caractères
- Les personnes ayant une vue imparfaite auront beaucoup de mal à identifier les caractères.
- C'est dérangeant et même frustrant pour les personnes, même pour celles ayant une bonne vue et un navigateur graphique
- L'efficacité contre les bots n'est pas toujours de 100%
- Demande plus de ressources au serveur
- etc...

Ceci n'est qu'un résumé des inconvénients.

J'ai évalué d'autres solutions, comme la filtration par mots clés, par IPs, et j'en passe, mais ces solutions sont toutes vouées à l'échec pour différentes raisons. Pour réellement bloquer les robots, je ne vois qu'un bon système CAPTCHA (image) couplé peut-être à un système audio pour les mal-voyants ou ceux n'affichant pas les images.

Je pourrais toujours poser des questions mathématiques mais je trouve ca encore plus dérangeant pour l'utilisateur. De nos jours, beaucoup sont incapables de faire un simple calcul mathématique et je doute que les gens aiment passer des tests de mathématiques sur un site qu'ils visitent, pour acheter, participer ou consulter les diverses ressources du site.

C'est un peu agacant tout ca. J'ai l'impression que même si c'est légitime et justifié d'être totalement contre les systèmes CAPTCHA pour les problèmes d'accessibilité qu'ils entraînent, l'existence et l'efficacité des spammers nous force à les utiliser, tôt ou tard.

Pour l'instant, j'ai quelques sites atteints par des spammeurs, mais le reste roule tranquillement. Qu'en sera-t-il plus tard ? C'est pourquoi je préfère me poser tout de suite la question et développer/trouver l'outils adéquat en cas d'invasion.

Qu'en pensez vous ?

Je les hais...
Modifié par Tony Monast (08 Jun 2006 - 19:34)
Totalement d'accord sur les captcha graphiques. Ceux qui utilisent des opérations arithmétiques simples sont déjà plus sympa (genre combien font 237 + 1 ?), même si pour un site commercial ça peut être gênant : on ne voudrait pas se mettre à dos ceux qui ne peuvent pas faire cette opération. Par contre pour mon blog, où je propose principalement des textes de réflexion, je ne pense pas que j'aurais le même problème.

Sinon, j'en ai vu avec des questions du genre « Dans quelle vise se situe la tour de Pise ? »… bon, si les gens ne savent pas que Pise est une ville, ça ne passera pas non plus.

Bref, il y a des captchas qui discriminent les malvoyants et non-voyants, et d'autres qui discriminent les illettrés. Mon site ne s'adressant pas aux illettrés – c'est un site purement textuel –, ça ne me poserait pas de problème d'en utiliser un du second type. Mais pour d'autres sites, ça peut être un peu limite.
Bonjour,
Quand je désire m'inscrire sur un site et que je découvre au détours du formulaire un antispam graphique, je suis frustré car dans l'impossibilité totale de valider.

A mon humble avis, un antispam proposant un petit calcul, ou une question de culture générale assez facile discrimine moins de monde qu'une image ou un clip audio.
IL existe également un autre type de question que l'on peut poser, il s'agit par exemple de demander la nième lettre d'un mot ou le nième mot d'une phrase. Pas besoin d'être cultivé, suffit juste de réfléchir quelques instants.

De mon côté, j'ai opté pour un système du type « entrez le nombre douze mille trois cents quarante-cinq en chiffres ».
Modérateur
Les questions d'ordre générale, j'oublie tout de suite. Même si c'est une question géographique simple, rien ne garantie que la personne connaîtra la réponse. S'il s'agit d'un site commercial pour vendre des produits, ca passerait mal de perdre une vente parce que le client n'avait pas la même instruction ou les mêmes connaissances que la moyenne.

Les questions mathématiques sont déjà un peu plus sûr, parce que ca peut être très simple, du style "multipliez 2 par 2."

Pour la nième lettre d'un mot, c'est une idée, je vais y réfléchir. Pour le milles truc machin aussi.

C'est tellement dommage d'en arriver là... Si le spam n'existait pas, le Web serait déjà plus agréable. Même le plus simple des systèmes antispam est perturbant... Smiley decu

Merci pour vos réactions.
Modifié par Tony Monast (08 Jun 2006 - 22:17)
Bonjour,
c'est en effet très pénalisant, mais la plupart du temps
les systèmes existants ne tiennent pas compte de l'accessibilité
et on les utilisent tel quels (blogs, annuaires...)

Il est possible d'avoir un système qui propose aux voyants et qui permet qui permet d'entendre à haute voix (robotisée) si besoin est : e-gold fait ça
mais je n'ai jamais vu ce script dans le domaine libre...
Il me semble avoir croisé quelque part l'idée d'un captcha inversé : un champ de formulaire (champ texte à priori) que l'on cache via CSS (genre un bon petit display: none;. Les utilisateurs en mode graphique ne le voient pas, et donc ne le remplissent pas, tandis que les robots, super malins, le font.

Ensuite, si le champ est rempli, on invalide le commentaire. Et hop.

Et les navigateurs non graphiques / lecteurs d'écran ?
– d'abord certains lecteurs d'écran ne rendront pas ce champ en display: none;
– ensuite, on utilise un label du type « Réservé aux méchants automates (à ne pas remplir, merci) ».

Quelqu'un a des infos là-dessus ? Ça a déjà été implémenté (plugin de blog, autre site…) ?
mpop a écrit :
Ensuite, si le champ est rempli, on invalide le commentaire. Et hop.


salut,
J'ai déjà essayé ça, avec succès. Un « robot spammeur » profitait d'un formulaire de contact. J'ai changé de formulaire pour un qui devait être mieux sécurisé, mais même pas quelques heures après ça continuait.
Du coup j'ai utilisé « display:none » comme tu l'as dit :ça fait déjà quelques mois et il ne m'a plus causé de souci depuis.
En revanche je n'ai jamais rien lu là dessus, je ne peux pas vraiment dire si c'est parfaitement efficace (ce qui m'étonnerait quand même).
Modifié par Alan (16 Jun 2006 - 14:24)
Bonjour,

J'ai la chance d'être assez peu atteinte sur mon blog. Ce sont surtout des spams de trackback, gérables avec Spamplemousse vu leur faible nombre.
Mais j'avoue que si la situation s'aggravait, je ne sais vraiment pas quelle solution j'adopterais.

J'ai fait un tour d'horizon dans ce billet, avec des liens vers des propositions et commentaires d'autres blogueurs, le document du W3C... mais aucune solution 100% acceptable Smiley decu
Modérateur
mpop, j'aime bien ta solution du champ caché via CSS qui ne sera rempli que par les robots. Même si rien ne garantie que cette solution fonctionnera à long terme, ca peut donner un sérieux coup de main pour bloquer la majorité des robots.

J'avais lu une solution du même type, mais un peu différente tout de même. L'objectif était de mettre un input type hidden dans le formulaire avec une valeur ET un nom générés aléatoirement, préalablement sauvegardé dans une variable de session. Lorsque le formulaire était soumi, on comparait la valeur et le nom du champ hidden à la variable de session. S'ils étaient égaux, on acceptait la soumission.

L'idée de base est que les robots récupérent uniquement les champs text et textarea, les gardent en mémoire puis ne fait que soumettre ces champs au document web. Donc théoriquement, ils n'enverraient jamais cet input type hidden. L'autre point est que si le bot récupère cet input hidden et le garde en mémoire, au prochain chargement du document, l'input hidden ne portera plus le même nom donc la soumission est vouée à l'échec. Finalement, si le robot est assez intelligent pour toujours envoyer les champs présents dans le formulaire, qu'ils soient hidden ou non, il risque d'être encore trop con et de remplir tous les champs de spam, ce qui invaliderait la valeur contenu dans l'input hidden.

On y croit, ou on y croit pas, c'est libre à chacun. Smiley cligne

AMEN
Modifié par Tony Monast (16 Jun 2006 - 15:01)
Tony Monast a écrit :
mpop, j'aime bien ta solution du champ caché via CSS qui ne sera rempli que par les robots. Même si rien ne garantie que cette solution fonctionnera à long terme, ca peut donner un sérieux coup de main pour bloquer la majorité des robots.

On parle de cette méthode ici : http://www.dotclear.net/forum/viewtopic.php?pid=100539#p100539

Il semble que dans son cas ça n'ait pas du tout été efficace :
a écrit :
Conclusion : 3 minutes après avoir testé le machin (qui fonctionne), le premier spam débarquait. Et j'ai toujours ma vingtaine de spams par jour !

Modifié par Alan (26 Jun 2006 - 18:44)
Le défi de manipulation wave avec php, ça m'attire bien... y'a juste à connaître le format des en-têtes contenant les informations de base (durée, échantillonnage, nombre de canaux, etc) et ensuite c'est pas compliqué.
Tony Monast a écrit :
mpop, j'aime bien ta solution du champ caché via CSS qui ne sera rempli que par les robots. Même si rien ne garantie que cette solution fonctionnera à long terme, ca peut donner un sérieux coup de main pour bloquer la majorité des robots.

J'avais lu une solution du même type, mais un peu différente tout de même. L'objectif était de mettre un input type hidden dans le formulaire avec une valeur ET un nom générés aléatoirement, préalablement sauvegardé dans une variable de session. Lorsque le formulaire était soumi, on comparait la valeur et le nom du champ hidden à la variable de session. S'ils étaient égaux, on acceptait la soumission.

L'idée de base est que les robots récupérent uniquement les champs text et textarea, les gardent en mémoire puis ne fait que soumettre ces champs au document web. Donc théoriquement, ils n'enverraient jamais cet input type hidden. L'autre point est que si le bot récupère cet input hidden et le garde en mémoire, au prochain chargement du document, l'input hidden ne portera plus le même nom donc la soumission est vouée à l'échec. Finalement, si le robot est assez intelligent pour toujours envoyer les champs présents dans le formulaire, qu'ils soient hidden ou non, il risque d'être encore trop con et de remplir tous les champs de spam, ce qui invaliderait la valeur contenu dans l'input hidden.

On y croit, ou on y croit pas, c'est libre à chacun. Smiley cligne

AMEN
Julien Royer a écrit :
@ychaouche : Euh oui, mais encore ? Smiley sweatdrop

Tu crois que c'est un robot spammeur qui cherche à parler sur le forum mais qui a pas encore trouvé ? Smiley lol
Mikachu a écrit :
Tu crois que c'est un robot spammeur qui cherche à parler sur le forum mais qui a pas encore trouvé ? Smiley lol
Arf. Smiley smile

Ou alors, c'est Tony qui l'a embauché pour propager sa parole.
Modérateur
Julien Royer a écrit :
Ou alors, c'est Tony qui l'a embauché pour propager sa parole.


Je suis démasqué ! Smiley apoil
Pour ma part, la solution du captcha textuel sous forme de question toute bête (celle adoptée par le blog d'Alsacréations) est la plus simple à mettre en œuvre.
Florent V. a écrit :
Bref, il y a des captchas qui discriminent les malvoyants et non-voyants, et d'autres qui discriminent les illettrés. Mon site ne s'adressant pas aux illettrés – c'est un site purement textuel –, ça ne me poserait pas de problème d'en utiliser un du second type. Mais pour d'autres sites, ça peut être un peu limite.

Justement, comment rendre le contenu d'un site accessible aux illettrés? Smiley rolleyes
Modérateur
Pour ceux que ca intéresse, il y a ce sujet qui parle également des CAPTCHA. La solution simple de Bison semble fonctionner, ne demande pas beaucoup de ressources au serveur et est très facile à mettre en place.
Pages :
Sujet clos
Aller à