Un captcha infaillible ? (4235 lectures)

Bonne analyse, une fois de plus c'est la méthode la plus simple qui est la plus efficace.
Reste plus qu'à le mettre en place ici ;-)
Bonne continuation

"Reste plus qu'à le mettre en place ici ;-)"

Il est en place, sur la page contact.
Il suffit de voir le code source.

Bonjour,
Je ne comprends pas où tu places ton champs caché exactement ?
Merci

Ca n'a aucune importance, à partir du moment où ce champ est dans le formulaire.

bonjour,

Merci pour cette info très utile qui tombe à pic :-) car certains captchas visuels ne sont pas au point à mon avis et donc je cherchais une alternative pour créer mon formulaire.

J'ai pourtant une très bonne vue mais il m'est arrivé sur certains site d'obtenir le message d'erreur "le code de vérification que vous avez entré est incorrect" et j'avais beau retaper le nouveau code (vu qu'il rafraîchissait l'image)... à la fin, vous vous en doutez bien, j'ai quitté le site sans remplir ce fichu formulaire qui me tapait sur le système !!

Donc, je voudrais éviter cela dans mon formulaire car je me dis que si cela m'est arrivé, je ne suis probablement pas la seule et pas envie de rebuter mes visiteurs !

Fred, j'aurai cependant une petite question : j'ai donc consulté le code source de cette page et je me suis rendu compte que la vérif de la saisie du formulaire se faisait en js et ma question est donc "la vérification en js fonctionne-t-elle si le visiteur a désactivé le js ?" car j'étais partie à la recherche d'un script php pour assurer ce rôle de peur que le js ne l'assure pas en cas de désactivation du visiteur.

@koko
La vérification des champs saisis dans les commentaires de cette page ne se fait pas en javascript mais en php.
Et puis, il suffit de désactiver le javascript pour s'en rendre compte.
Pour cela, il faudra installer la webtoolbar. Faites une recherche sur le site avec le terme 'webtoolbar' pour avoir les liens de téléchargement sur Firefox, IE ou Opera.

Enfin, il est courant d'utiliser javascript pour vérifier les formulaires, c'est rapide (surtout avec JQuery) et sexy, mais il faut toujours les vérifier aussi avec PHP si javascript est désactivé.

Bonjour,

Je recherchais une bonne idée pour un captcha, et je chercher un alogrithme permettant d'etre le plus puissant possible pour ne pas gener l'utilisateur et bloquer les spam-bot.

Et la bravo.

Grâce à ton analyse et ton exemple, je suis parti à réfléchir dessus, et je peux te donner quelques ajouts possibles...

rajouter dans le css:
input.hideInput {
display: none;
}

et pour ton code HTML :

<input class="hideInput" name="email" value="" />

L'avantage est de pouvoir cacher le fait que ton input ne s'affiche pas.
De plus tu peux nommer le vrai champ de l'email de façon aléatoire et garder son nom en session...

Voila.

@Calibhaan
Je ne comprends pas trop pourquoi tu ajoutes une couche de CSS pour masquer ton champ alors que le fait de lui donner une valeur hidden à l'attribut type fait qu'il sera masqué par défaut, et ce quelque soit le moteur de rendu du navigateur (braille ou visuel).
Avec ta méthode, un navigateur braille ne va pas lire la CSS et celui qui veut poster un commentaire va naturellement remplir le champ et voir son commentaire rejetté.

Après, il en existe beaucoup d'autres aussi.

On aurait pû mettre le champ entre des balises commentaires html.
On aurait pû mettre un textarea (entre des balises commentaires) avec du texte dedans, comme : "Ne surtout pas modifier ce texte, il sert à filtrer les robots spammeurs", puis vérifier côté serveur si ce texte a été modifié.

Comme les robots spammeurs aiment à insérer plein de texte indésirable dans les champs type textarea, ils seront rejettés.

Evidemment, tout ceci ne filtera jamais le spammeur "humain", ni un robot "intelligent".

Pour l'instant, cette méthode porte ses fruits.

Effectivement je n'avais pas pensé au lecteur braille...
Donc ta méthode est bien comme elle est.

Il faut bien avouer que cette astuce est énorme
quand on voit le nombre de spamm que l'on peut
récolter un très peu de temps.

J'ai fait l'erreur sur le forum PHPbb d'un ami d'ommetre
le captcha...

12 000 posts en un mois ... Que du spam...

Je vais reprendre rapidement cette astuce ;)

Merci

Jérémy

@Jérémy
Attention, car phpBB est réputé (était ?) pour avoir de nombreuses failles, et les forums en général doivent recevoir des règles anti-spams bien plus fortes que celle décrite dans cet article.

Question peut-être étrange, mais pourquoi n'as-tu pas installé ton système sur cette page au vu de ton article. Je me triture le cerveau à calculer 17+14 ;).

@original
Le système existe sur la page contact de ce site.
Par ailleurs, ce site étant aussi un "labo", j'ai installé un autre système pour les commentaires, ce qui permet d'ailleurs de pouvoir comparer les deux systèmes.
Enfin, un peu de calcul mental n'est jamais mauvais pour la santé ; ça m'évite comme ça les skybloggueurs :p

Pardon de poser ca mais quelles sont a peu pres tes stats de visites/jour et tu n'as toujours jamais eu de probleme avec le systeme de la balise hidden?

@oldergod :
Je ne comprends pas ta question.
Quel problème serais-je susceptible d'avoir avec "hidden" (qui n'est pas une balise) ?
N'oublions pas le but de cet article : apprendre à faire au plus simple et accessible au lieu de toujours sortir, parce que le web est 2.0, l'artillerie lourde.
Mon message était celui-ci : un mauvais captcha (dans le sens accessibilité) va avoir beaucoup de chances d'être rejetté et abandonné par l'utilisateur. C'est donc un échec de la convertion (d'un formulaire). Un bon captcha (accessible et simple) ne bloquera jamais les convertions de formulaires. Au pire il restera une couche de nettoyage des spams, ce qui peut encore être automatisé.
De nombreux gros portails utilisent aujourd'hui des captchas visuels très difficiles à décrypter, même pour une personne voyante.
Si après deux ou trois tentatives le formulaire vous répond toujours que le captcha n'est pas bon, il va rester peu de personnes pour insister.
Que vaut-il mieux ? Un captcha très fort, tellement fort que même les humains ne le passent pas ! Ou un captcha qui ne doit poser aucun problème aux humains, quitte à laisser passer du spam qui je le répète peut encore être filtré côté serveur.

Bonne démonstration mais tu n expliques pas comment vérifier que le champ reste vide.

Quel est le code à mettre dans le php pour controler cela ?

@xav
Je ne pense pas qu'il soit nécessaire de mettre ici comment on vérifie en PHP qu'un champ envoyé par la méthode POST est bien vide. C'est élémentaire ;)

Ben oui mais c'est dommage tu mets que la moitié de la méthode les gens comme moi qui savent pas faire de php on peut pas mettre en place ta méthode.

@xav
"tu mets que la moitié de la méthode"
Non, je met la totalité de la méthode. Le traitement serveur ne fait pas parti de l'article, car il peut être en php, en asp, en python, en ruby ou n'importe quoi d'autre.

C'est très sympa ton idée mais assez frustrant...
je suis d'accord avec xav : tu mets quand même que la moitié de la méthode car on reste bloqué !
Est-ce que tu ne pourrais pas indiquer comment faire le traitement serveur au moins en php (le plus courant).
Merci en tout cas si tu as la gentillesse de le faire, pour tous ceux qui sont débutants.
Merci et @+

@Banvert
Je vous invite à vous orienter vers des sites comme :
http://www.phpdebutant.org/
http://www.phpfacile.com/
http://www.siteduzero.com/
Il ne sert à rien de vouloir commencer à faire un formulaire avec captcha si vous ne savez (à priori) pas comment contrôler l'intégrité des variables postées par les formulaires.
C'est le B.A.-ba de PHP et ça ne reste pas compliqué. Sans cela, vous ouvrez des failles de sécurité importantes.

Bonjour, j'ai un forum SMF pour un club de tennis de table. Depuis plusieurs mois, malgré la mise en place du captcha "standard" de SMF, de nombreux bots arrivent à s'inscrire sur le forum. Pour l'instant ça ne pose pas de problème car je dois valider l'inscription de toutes les personnes s'inscrivant.

Mais j'aimerais, pour attiré un peu plus les gens du club sur le forum, ne pas devoir faire cette validation, ce qui reviendrait à accepter l'inscription des bots... Il me faut donc un autre captcha. J'ai pensé à celui dont tu parles dans l'article. Mais est-il assez efficace ?

Il "suffirait" que le robot ne prennent pas en compte les éléments du formulaire qui ont l'attribut "hidden". Il me semble que ça doit être facile à mettre en place pour un hacker.

Bonjour Michael,

Pour un forum, il faut se tourner vers les plugins spécifiques développés pour lui.
Je ne sais pas si tu as été voir du côté anglophone de SimpleMachines, mais je vois beaucoup de plugins de sécurité anti-bot ou captcha, forcément plus évolués que ce que je présente.
http://custom.simplemachines.org/mods/index.php?action=search;type=13

Fred

J'avais déjà inclus l'un de ces anti-bot pour la nouvelle version de mon site. (un anti-bot qui génère plusieurs types de question dont des petits calculs). J'ai rajouté en plus un champ email hidden, et renommer le champ email comme expliqué dans ton article

On verra une fois la nouvelle version du site en ligne, si les robots arrivent toujours à s'inscrire... Sinon, je reviendrai pour me plaindre :)))

Merci pour les infos

Il n'y a pas de secret aujourd'hui, et on le voit bien avec les très nombreux webservices qui utilisent des captchas visuels totalement illisibles, avec une option vocale défaillante.
Pour qu'il soit efficace (vriament) il faut qu'il soit complexe, mais il faut user de subtilités pour éviter le plus de désagrément à l'utilisateur.
On pourrait imaginer un système visuel de cartes qui sont mélangées aléatoirement, l'utilisateur devant cocher la couleur (ou genre) de la carte affichée.
L'exemple est sympa, mais une chance sur quatre n'est pas suffisant comme anti-spam, il faut trouver mieux tout en restant très simple pour l'utilisateur.

Bonjour,

Super idée !
Il y a eu des retours ? Ça marche vraiment bien ?

Bonjour,

C'est vrai que sur une telle idée, on aimerait avoir un retour d'expérience au bout de quelques années.

Et une comparaison avec la solution des commentaires.

Qu'est-ce que je peux être exigeant!

:)

@François

Je ne sais pas quoi répondre...
Depuis que ce système est installé sur ce site (page contact uniquement > cf précédent commentaires pour expliquer pourquoi), j'ai 0% de spams. (forcément, ça ne demande que de la confiance).
C'est aussi vrai sur les commentaires d'un article, mais eux reçoivent une autre logique anti-skyblog (1+1=?).

Fred

Bonjour, je trouve votre idée de captcha vraiment bonne. Elle est assez simple et semble très pratique.

Dans le cadre du developpement de mon site web, j'ai pensé à une façon de faire un captcha. Bon moi j'ai opté de générer un mot aléatoire en PHP que j'affiche à l'utilisateur. C'est ce mot la qui me sert de captcha.

Sachant que le mot est généré par mon serveur, son code ne devrait pas pas en principe être visible par le robot.

Bon dites moi ce que vous en pensez !!

@Sumbang
"Sachant que le mot est généré par mon serveur, son code ne devrait pas pas en principe être visible par le robot."
--------
Mais tout est généré par le serveur de toute façon, et je ne vois pas en quoi ça serait utile dans ce cas ? Vous n'avez pas un exemple concret à voir ?

Mais en suivant votre idée, et pour rester accessible, il suffirait comme vous le faites d'afficher un mot, choisit aléatoirement sur une liste de mots, et de demander par exemple de réécrire le mot sans sa première lettre (par exemple), puis de contrôler côté serveur le résultat.
Comment un robot peut-il lire et comprendre la phrase clé et l'interpréter ?