Un captcha infaillible ? (9117 lectures)

Bonne analyse, une fois de plus c'est la méthode la plus simple qui est la plus efficace.
Reste plus qu'à le mettre en place ici ;-)
Bonne continuation

"Reste plus qu'à le mettre en place ici ;-)"

Il est en place, sur la page contact.
Il suffit de voir le code source.

Bonjour,
Je ne comprends pas où tu places ton champs caché exactement ?
Merci

Ca n'a aucune importance, à partir du moment où ce champ est dans le formulaire.

bonjour,

Merci pour cette info très utile qui tombe à pic :-) car certains captchas visuels ne sont pas au point à mon avis et donc je cherchais une alternative pour créer mon formulaire.

J'ai pourtant une très bonne vue mais il m'est arrivé sur certains site d'obtenir le message d'erreur "le code de vérification que vous avez entré est incorrect" et j'avais beau retaper le nouveau code (vu qu'il rafraîchissait l'image)... à la fin, vous vous en doutez bien, j'ai quitté le site sans remplir ce fichu formulaire qui me tapait sur le système !!

Donc, je voudrais éviter cela dans mon formulaire car je me dis que si cela m'est arrivé, je ne suis probablement pas la seule et pas envie de rebuter mes visiteurs !

Fred, j'aurai cependant une petite question : j'ai donc consulté le code source de cette page et je me suis rendu compte que la vérif de la saisie du formulaire se faisait en js et ma question est donc "la vérification en js fonctionne-t-elle si le visiteur a désactivé le js ?" car j'étais partie à la recherche d'un script php pour assurer ce rôle de peur que le js ne l'assure pas en cas de désactivation du visiteur.

@koko
La vérification des champs saisis dans les commentaires de cette page ne se fait pas en javascript mais en php.
Et puis, il suffit de désactiver le javascript pour s'en rendre compte.
Pour cela, il faudra installer la webtoolbar. Faites une recherche sur le site avec le terme 'webtoolbar' pour avoir les liens de téléchargement sur Firefox, IE ou Opera.

Enfin, il est courant d'utiliser javascript pour vérifier les formulaires, c'est rapide (surtout avec JQuery) et sexy, mais il faut toujours les vérifier aussi avec PHP si javascript est désactivé.

Bonjour,

Je recherchais une bonne idée pour un captcha, et je chercher un alogrithme permettant d'etre le plus puissant possible pour ne pas gener l'utilisateur et bloquer les spam-bot.

Et la bravo.

Grâce à ton analyse et ton exemple, je suis parti à réfléchir dessus, et je peux te donner quelques ajouts possibles...

rajouter dans le css:
input.hideInput {
display: none;
}

et pour ton code HTML :

<input class="hideInput" name="email" value="" />

L'avantage est de pouvoir cacher le fait que ton input ne s'affiche pas.
De plus tu peux nommer le vrai champ de l'email de façon aléatoire et garder son nom en session...

Voila.

@Calibhaan
Je ne comprends pas trop pourquoi tu ajoutes une couche de CSS pour masquer ton champ alors que le fait de lui donner une valeur hidden à l'attribut type fait qu'il sera masqué par défaut, et ce quelque soit le moteur de rendu du navigateur (braille ou visuel).
Avec ta méthode, un navigateur braille ne va pas lire la CSS et celui qui veut poster un commentaire va naturellement remplir le champ et voir son commentaire rejetté.

Après, il en existe beaucoup d'autres aussi.

On aurait pû mettre le champ entre des balises commentaires html.
On aurait pû mettre un textarea (entre des balises commentaires) avec du texte dedans, comme : "Ne surtout pas modifier ce texte, il sert à filtrer les robots spammeurs", puis vérifier côté serveur si ce texte a été modifié.

Comme les robots spammeurs aiment à insérer plein de texte indésirable dans les champs type textarea, ils seront rejettés.

Evidemment, tout ceci ne filtera jamais le spammeur "humain", ni un robot "intelligent".

Pour l'instant, cette méthode porte ses fruits.

Effectivement je n'avais pas pensé au lecteur braille...
Donc ta méthode est bien comme elle est.

Il faut bien avouer que cette astuce est énorme
quand on voit le nombre de spamm que l'on peut
récolter un très peu de temps.

J'ai fait l'erreur sur le forum PHPbb d'un ami d'ommetre
le captcha...

12 000 posts en un mois ... Que du spam...

Je vais reprendre rapidement cette astuce ;)

Merci

Jérémy

@Jérémy
Attention, car phpBB est réputé (était ?) pour avoir de nombreuses failles, et les forums en général doivent recevoir des règles anti-spams bien plus fortes que celle décrite dans cet article.

Question peut-être étrange, mais pourquoi n'as-tu pas installé ton système sur cette page au vu de ton article. Je me triture le cerveau à calculer 17+14 ;).

@original
Le système existe sur la page contact de ce site.
Par ailleurs, ce site étant aussi un "labo", j'ai installé un autre système pour les commentaires, ce qui permet d'ailleurs de pouvoir comparer les deux systèmes.
Enfin, un peu de calcul mental n'est jamais mauvais pour la santé ; ça m'évite comme ça les skybloggueurs :p

Pardon de poser ca mais quelles sont a peu pres tes stats de visites/jour et tu n'as toujours jamais eu de probleme avec le systeme de la balise hidden?

@oldergod :
Je ne comprends pas ta question.
Quel problème serais-je susceptible d'avoir avec "hidden" (qui n'est pas une balise) ?
N'oublions pas le but de cet article : apprendre à faire au plus simple et accessible au lieu de toujours sortir, parce que le web est 2.0, l'artillerie lourde.
Mon message était celui-ci : un mauvais captcha (dans le sens accessibilité) va avoir beaucoup de chances d'être rejetté et abandonné par l'utilisateur. C'est donc un échec de la convertion (d'un formulaire). Un bon captcha (accessible et simple) ne bloquera jamais les convertions de formulaires. Au pire il restera une couche de nettoyage des spams, ce qui peut encore être automatisé.
De nombreux gros portails utilisent aujourd'hui des captchas visuels très difficiles à décrypter, même pour une personne voyante.
Si après deux ou trois tentatives le formulaire vous répond toujours que le captcha n'est pas bon, il va rester peu de personnes pour insister.
Que vaut-il mieux ? Un captcha très fort, tellement fort que même les humains ne le passent pas ! Ou un captcha qui ne doit poser aucun problème aux humains, quitte à laisser passer du spam qui je le répète peut encore être filtré côté serveur.

Bonne démonstration mais tu n expliques pas comment vérifier que le champ reste vide.

Quel est le code à mettre dans le php pour controler cela ?

@xav
Je ne pense pas qu'il soit nécessaire de mettre ici comment on vérifie en PHP qu'un champ envoyé par la méthode POST est bien vide. C'est élémentaire ;)

Ben oui mais c'est dommage tu mets que la moitié de la méthode les gens comme moi qui savent pas faire de php on peut pas mettre en place ta méthode.

@xav
"tu mets que la moitié de la méthode"
Non, je met la totalité de la méthode. Le traitement serveur ne fait pas parti de l'article, car il peut être en php, en asp, en python, en ruby ou n'importe quoi d'autre.

C'est très sympa ton idée mais assez frustrant...
je suis d'accord avec xav : tu mets quand même que la moitié de la méthode car on reste bloqué !
Est-ce que tu ne pourrais pas indiquer comment faire le traitement serveur au moins en php (le plus courant).
Merci en tout cas si tu as la gentillesse de le faire, pour tous ceux qui sont débutants.
Merci et @+

@Banvert
Je vous invite à vous orienter vers des sites comme :
http://www.phpdebutant.org/
http://www.phpfacile.com/
http://www.siteduzero.com/
Il ne sert à rien de vouloir commencer à faire un formulaire avec captcha si vous ne savez (à priori) pas comment contrôler l'intégrité des variables postées par les formulaires.
C'est le B.A.-ba de PHP et ça ne reste pas compliqué. Sans cela, vous ouvrez des failles de sécurité importantes.

Bonjour, j'ai un forum SMF pour un club de tennis de table. Depuis plusieurs mois, malgré la mise en place du captcha "standard" de SMF, de nombreux bots arrivent à s'inscrire sur le forum. Pour l'instant ça ne pose pas de problème car je dois valider l'inscription de toutes les personnes s'inscrivant.

Mais j'aimerais, pour attiré un peu plus les gens du club sur le forum, ne pas devoir faire cette validation, ce qui reviendrait à accepter l'inscription des bots... Il me faut donc un autre captcha. J'ai pensé à celui dont tu parles dans l'article. Mais est-il assez efficace ?

Il "suffirait" que le robot ne prennent pas en compte les éléments du formulaire qui ont l'attribut "hidden". Il me semble que ça doit être facile à mettre en place pour un hacker.

Bonjour Michael,

Pour un forum, il faut se tourner vers les plugins spécifiques développés pour lui.
Je ne sais pas si tu as été voir du côté anglophone de SimpleMachines, mais je vois beaucoup de plugins de sécurité anti-bot ou captcha, forcément plus évolués que ce que je présente.
http://custom.simplemachines.org/mods/index.php?action=search;type=13

Fred

J'avais déjà inclus l'un de ces anti-bot pour la nouvelle version de mon site. (un anti-bot qui génère plusieurs types de question dont des petits calculs). J'ai rajouté en plus un champ email hidden, et renommer le champ email comme expliqué dans ton article

On verra une fois la nouvelle version du site en ligne, si les robots arrivent toujours à s'inscrire... Sinon, je reviendrai pour me plaindre :)))

Merci pour les infos

Il n'y a pas de secret aujourd'hui, et on le voit bien avec les très nombreux webservices qui utilisent des captchas visuels totalement illisibles, avec une option vocale défaillante.
Pour qu'il soit efficace (vriament) il faut qu'il soit complexe, mais il faut user de subtilités pour éviter le plus de désagrément à l'utilisateur.
On pourrait imaginer un système visuel de cartes qui sont mélangées aléatoirement, l'utilisateur devant cocher la couleur (ou genre) de la carte affichée.
L'exemple est sympa, mais une chance sur quatre n'est pas suffisant comme anti-spam, il faut trouver mieux tout en restant très simple pour l'utilisateur.

Bonjour,

Super idée !
Il y a eu des retours ? Ça marche vraiment bien ?

Bonjour,

C'est vrai que sur une telle idée, on aimerait avoir un retour d'expérience au bout de quelques années.

Et une comparaison avec la solution des commentaires.

Qu'est-ce que je peux être exigeant!

:)

@François

Je ne sais pas quoi répondre...
Depuis que ce système est installé sur ce site (page contact uniquement > cf précédent commentaires pour expliquer pourquoi), j'ai 0% de spams. (forcément, ça ne demande que de la confiance).
C'est aussi vrai sur les commentaires d'un article, mais eux reçoivent une autre logique anti-skyblog (1+1=?).

Fred

Bonjour, je trouve votre idée de captcha vraiment bonne. Elle est assez simple et semble très pratique.

Dans le cadre du developpement de mon site web, j'ai pensé à une façon de faire un captcha. Bon moi j'ai opté de générer un mot aléatoire en PHP que j'affiche à l'utilisateur. C'est ce mot la qui me sert de captcha.

Sachant que le mot est généré par mon serveur, son code ne devrait pas pas en principe être visible par le robot.

Bon dites moi ce que vous en pensez !!

@Sumbang
"Sachant que le mot est généré par mon serveur, son code ne devrait pas pas en principe être visible par le robot."
--------
Mais tout est généré par le serveur de toute façon, et je ne vois pas en quoi ça serait utile dans ce cas ? Vous n'avez pas un exemple concret à voir ?

Mais en suivant votre idée, et pour rester accessible, il suffirait comme vous le faites d'afficher un mot, choisit aléatoirement sur une liste de mots, et de demander par exemple de réécrire le mot sans sa première lettre (par exemple), puis de contrôler côté serveur le résultat.
Comment un robot peut-il lire et comprendre la phrase clé et l'interpréter ?

Mouais... programmer un bot pour ignorer les champs hidden reste à mon sens à la portée de n'importe quel robot, si vous pensez votre méthode efficace c'est tout simplement car elle n'est que très peu utilisé et/ou par des petits sites...
L'idée de masquer par CSS devrait déjà ajouter une couche de protection supplémentaire, mais ça reste minime.

Bref, le message de cet article devrait plutôt être qu'il faut adapter la solution captcha à son cas et que l'artillerie lourde des captchas illisibles sont inutiles pour des petits sites et blog persos :)

I like the idea of looking at your categories its interesting and most about that – it’s good inspiration. I have been torn between the direction of what my newest site should be focused on and after reading this.thank you very much for your information provided. but I am still a little bit impressed

Cette idée est intéressante, cependant, je suis d'accord avec Klonoa... En effet,il est pas difficile pour un bot d'ignorer quelques champs hidden, ou, tout simplement, ne pas les remplir puisqu'ils sont eux mêmes cachés...

A essayer !

Hello,

Cette technique n'est pas bonne. Mais la en place et je te montrerai toutes les failles.

Touf

@toufik
Cette "technique" est en place, il faut tout lire en entier.
"Mais la en place et je te montrerai toutes les failles."

"Mais" s'écrit met, du verbe mettre.

Je pense que vous (vous notez le vouvoiement ?) n'avez absolument rien saisi à ce que j'ai écrit.
Je ne parle que de filtrer les robots, pas les humains, évidemment...
Fred

Voila j'ai trouver ca pour valider le champ hidden (host ou un autre nom..comme email cité ici comme exemple)

La détection via PHP

<?php
if(isset($_POST['host']) && empty($_POST['host'])) //Si "host" est vide
{
//On continue le traitement de données
}
else //Sinon
{
//Sachant qu'on a très probablement affaire à un bot, inutile de renvoyer un message d'erreur =)
}
?>

Excellente idée ! Merci.

Brillant!

Les idées les plus simples étant les meilleures, je te donne la note maxi: 10/10

Ca évite d'installer une usine à gaz (je suis tombé sur cette page par hasard alors que j'étais en train de bricoler un captcha avec encyptage/décryptage de param pour éviter de passer par le stockage de cookie...)
Résultat, plus de captcha pénible et plus de spam du tout!

Merci d'avoir partagé cette excellente idée!

J'utilise deuis 2 ans Un triple traitement de mes formulaires :

1 - un champ caché par du css, à la validation du formulaire, pas d'enregistrement dans la base si le champ n'est pas vide
2 - Je compte le nombre de lien dans le message, si plus de 4 liens, j'envoie d'un message à l'utilisateur : "trop de lien dans votre message".
3 - je teste tous les champs et si je trouve plus de 4 consonnes qui se suive (style "ghklw"), envoi d'un message " trop de consonne qui se suive".

Avec cette association de test, je n'ai plus aucun spam sur les sites que je gere.

@David :

Je remplace (sur certaines applications) pour ma part votre point 3 par un test de mots-clés interdits.
Si le message contient des mots-clés tels que Viagra, Casino, Sex, ou autres saletés connues des spams, je ne prends même pas soin d'afficher un message. Un exit() direct.

Bonjour.

Merci pour votre idée, elle est vraiment cool.
Je vais l'utiliser en plus de la méthode suivante.

Mais avant tout, je voudrais votre avis sur cette méthode:

- Un champs texte avec comme valeur par défaut "Veuillez effacer ce texte, svp."
Si l'utilisateur efface le texte et que le champs est bien vide, l'inscription est prise en compte. Par contre, si il ne supprime pas le texte, un message d'erreur apparaît pour lui demander de vider le champs.

Voilà, je ne m'y connais pas trop en spam-bot, donc je sais pas trop comment c'est fait ni si ils ont la capacité d'effacer du texte. Votre avis est le bienvenu.

@Mosho

Vous cherchez à bloquer les robots spammeurs. Essayons d'éviter de mettre des surcouches inutiles à vos visiteurs.
1) Je mettrais au contraire le texte "Veuillez ne pas effacer ce texte",
2.a) soit en mettant votre champ en type hidden (les visiteurs ne le voient pas, et on suppose ici que les robots vont le voir et le modifier),
2.b) soit en mettant un champ type text, mais caché via CSS :
<fieldset style="display:none;">
<input type="text" value="ne pas effacer ce texte sinon le formulaire ne sera pas validé" name="captcha" />
</fieldset>

Je ne pars du principe que les robots ne sont que boulimiques, ils cherchent à remplir tous les champs pour y mettre leurs conneries et autres saloperies.
Donc si un champ est rempli (ou modifié) alors qu'il ne doit pas l'être, c'est un robot.

Merci pour cette méthode Ô combien simple ! Je suis un maniaque des formulaires simplifiés et supprimer cet ennuyeux champ de captcha est une révolution ! Je teste ça tout de suite et je donne mon avis si un spam se faufile sur mon site :)

S'il y a des nouveaux retours ça pourrait être intéressant :)

Petit retour de mon installation du captcha hidden.
Effectivement ça fonctionne très bien, même sur un site très touché par les robots spammeurs. Ça marche même mieux que mon ancien captcha presque illisible qui laissait passer 1 spam sur 100.
Si je découvre une faille je cacherai le champ à l'aide des CSS pour empêcher les robots d'identifier le champ responsable (puisque théoriquement on peut programmer un robot qui ne remplit que les input text).

En tout cas merci pour cette méthode !

Avant tout, bravo pour tes recherches.

Malheureusement, je rejoins Klonoa et Ham's. Il est très facile de « paramétrer » (ou « programmer ») un robot pour ignorer les champs de type « hidden », tout comme il n'y à rien de difficile à demander à son robot d'examiner la feuille de style. Et cela, même si j'avoue que l'idée de laisser le champ de type « text » et de cacher le champ via une feuille de style me plait assez bien. D'autant plus, cette solution est à bannir pour des raisons évidentes d'accessibilité évoquées ci-dessus.

Il est vrai qu'on voit des captcha de toute sorte aujourd'hui: image fixe (png, jpeg) ou animée (gif, canvas) parfois indéchirable pour un humain, reproduction d'une forme avec la souris (source: http://www.josscrowcroft.com/demos/motioncaptcha/), des questions parfois tordues voire impossible à répondre, des opérations mathématiques ou corrections orthographiques qui nous demandent de nous décroiser les neurones, et j'en passe.

Pistes envisageables:

L'être humain n'est pas parfait! Il fait des fautes, il met du temps à réfléchir, etc. Certes, c'est un comportement facilement imitable pour un programme. Mais je pense que estimer le temps qu'un robot met à remplir un formulaire est une piste à ne pas négliger (d'autant que l'utilisateur n'a rien à faire pour cette partie).

Préférer des question logiques plutôt que de culture générale. En effet, les questions de culture générale sont souvent trop simples, ceci pour des raisons évidentes. Imaginez que je vous demande « Quel est la capitale du Burundi? ». Allez hop! Tous au dico!
Alors que des questions du type « Il y a huit pommes dans une corbeille à fruits. J'en mange trois, combien en reste-il? », ou encore, « Pierre a deux fils Alain et Jean. Quelle est la relation entre Jean et Alain? », et encore, «Jean est né le 8 mars 1984. À quelle date est né son frère jumeau Pierre?», et enfin, « J'avance de cinq pas, puis recule de deux. Combien de pas me séparent de mon point d'origine? » sont accessibles pour un humain mais sont plus difficiles à analyser pour un robot (d'autant plus s'il parle anglais ou chinois).

Amusez-vous bien ;)

S'il y a un truc encore plus relou que les textes indéchiffrables c'est bien les énigmes à deux balles :D

Franchement, je veux pas avoir à compter des pommes ou faire des problèmes de math à chaque fois que je veux envoyer un commentaire... Surtout que beaucoup de gens ne comprennent pas le but d'un champ captcha et zappent cette étape...

Les captcha ne sont peut-être pas infaillibles à 100% mais si je peux avoir une fiabilité de 99% tout en évitant à mes visiteurs le désagrément d'un décodage ou d'une énigme ennuyeux ça me va très bien ! Et si un robot arrive à contrer le champ hidden, j'en mettrai plusieurs avec des comportements différents, ça devrait largement faire l'affaire.

Et j'en profite pour confirmer qu'après quelques jours d'utilisation je n'ai plus aucun spam ! Encore merci !

Hem, je suis dubitatif quand à l'emploi de ces méthodes.