27-12-2016, 05:43 PM
Bonjour,
Ah, les CAPTCHA, un sujet de discussion sans fin.
Je suis non-voyant, alors pour moi la plupart des CAPTCHA sont tout simplement bloquants.
Je ne peux pas reconnaître des gens sur des photos, ni dessiner des formes précises avec la souris dans une zone bien définie, ni utiliser un OCR pour lire un code volontairement écrit avec des lettres/chiffres déformés (évidemment puisque c'est précisément le but). Donc la plupart du temps, quand il y a un CAPTCHA, je ne peux tout simplement pas m'inscrire.
Parfois il y a des CAPTCHA audio, mais ils sont tout aussi inutilisables que les classiques images, sinon encore bien pires; essayez, vous verrez, c'est la catastrophe fois 12.
Si je dois m'y reprendre à 5 fois pour passer un CAPTCHA c'est qu'il y a quand même un gros problème non ? et quand j'y arrive, parce que souvent, j'abandonne bien avant.
Parfois on peut contacter les admins si on tient vraiment à s'inscrire sur le site, souvent ils sont sympas, mais souvent ils ne répondent pas, normal s'il y en a 100 par jour qui font la même chose; bref, ça reste pénible pour rien.
IL existe effectivement des entreprises qui décryptent un CAPTCHA pour quelques centimes l'unité, mais elles ne sont pas toutes malhonnêtes.
Quelques-unes d'entre-elles existe précisément pour aider les aveugles qui n'ont pas d'autre choix. Si seulement tous ces satanés CAPTCHA disparaissaient !
Le gros ennui, c'est qu'il est parfaitement impossible de savoir si celui qui a payé ces quelques centimes le fait avec un but honnête ou malhonnête.
On est bien d'accord que le 99% est malhonnête; mais n'oubliez pas les 1% de méconnus qui en ont parfois besoin.
J'espère que ce point de vue un peu différent permet d'élargir le sujet.
Les meilleurs moyens pour virer les bots et les spams, c'est donc ceux qui n'enquiquinent pas l'utilisateur honnête. Ils ont été déjà plus ou moins cités, mais à mon avis, je classerais:
1 - Préférer un développement perso ou alors tenir scrupuleusement à jour son framework/CMs; parce que ceux qu'on attaque en premier c'est les systèmes populaires étant donné que c'est plus simple et surtout on peut les tester tranquillement avant la véritable attaque
2 - Les limitations invisibles du genre pas plus de 3 URL par post, vérifier le ratio lien/texte ou image/texte, blacklist d'URL ou de mots-clés bannis ou encore mieux, whitelist (mais la whitelist est très contraignante)
3 - Autoriser l'écriture/modification/création qu'aux utilisateurs qui ont déjà démontré par leur comportement qu'ils ne sont pa des bots: de façon simple c'est vérifier l'adresse e-mail et surtout une adresse e-mail non jetable (il existe aussi des listes tenues à jour des sites proposant ces services), mais je pense par exemple aussi à bloquer le post les 3 premiers jours après l'inscription, tant qu'on n'a pas passé au moins 5 minutes sur la page de la charte, ou le permettre seulement une fois qu'on a atteint le niveau 5 dans le jeu... Là pour appliquer la bonne limitation il faut savoir ce qu'on vise, c'est pas forcément facile de ne pas brider injustement les honnêtes gens.
4 - Blacklist d'adresse IP, mais attention aux faux positifs
5 - ET seulement en guise de n°5 on en arrive aux CAPTCHA invasifs, parmi lesquels je préfère nettement ceux qui posent des questions simples
Ah, les CAPTCHA, un sujet de discussion sans fin.
Je suis non-voyant, alors pour moi la plupart des CAPTCHA sont tout simplement bloquants.
Je ne peux pas reconnaître des gens sur des photos, ni dessiner des formes précises avec la souris dans une zone bien définie, ni utiliser un OCR pour lire un code volontairement écrit avec des lettres/chiffres déformés (évidemment puisque c'est précisément le but). Donc la plupart du temps, quand il y a un CAPTCHA, je ne peux tout simplement pas m'inscrire.
Parfois il y a des CAPTCHA audio, mais ils sont tout aussi inutilisables que les classiques images, sinon encore bien pires; essayez, vous verrez, c'est la catastrophe fois 12.
Si je dois m'y reprendre à 5 fois pour passer un CAPTCHA c'est qu'il y a quand même un gros problème non ? et quand j'y arrive, parce que souvent, j'abandonne bien avant.
Parfois on peut contacter les admins si on tient vraiment à s'inscrire sur le site, souvent ils sont sympas, mais souvent ils ne répondent pas, normal s'il y en a 100 par jour qui font la même chose; bref, ça reste pénible pour rien.
IL existe effectivement des entreprises qui décryptent un CAPTCHA pour quelques centimes l'unité, mais elles ne sont pas toutes malhonnêtes.
Quelques-unes d'entre-elles existe précisément pour aider les aveugles qui n'ont pas d'autre choix. Si seulement tous ces satanés CAPTCHA disparaissaient !
Le gros ennui, c'est qu'il est parfaitement impossible de savoir si celui qui a payé ces quelques centimes le fait avec un but honnête ou malhonnête.
On est bien d'accord que le 99% est malhonnête; mais n'oubliez pas les 1% de méconnus qui en ont parfois besoin.
J'espère que ce point de vue un peu différent permet d'élargir le sujet.
Les meilleurs moyens pour virer les bots et les spams, c'est donc ceux qui n'enquiquinent pas l'utilisateur honnête. Ils ont été déjà plus ou moins cités, mais à mon avis, je classerais:
1 - Préférer un développement perso ou alors tenir scrupuleusement à jour son framework/CMs; parce que ceux qu'on attaque en premier c'est les systèmes populaires étant donné que c'est plus simple et surtout on peut les tester tranquillement avant la véritable attaque
2 - Les limitations invisibles du genre pas plus de 3 URL par post, vérifier le ratio lien/texte ou image/texte, blacklist d'URL ou de mots-clés bannis ou encore mieux, whitelist (mais la whitelist est très contraignante)
3 - Autoriser l'écriture/modification/création qu'aux utilisateurs qui ont déjà démontré par leur comportement qu'ils ne sont pa des bots: de façon simple c'est vérifier l'adresse e-mail et surtout une adresse e-mail non jetable (il existe aussi des listes tenues à jour des sites proposant ces services), mais je pense par exemple aussi à bloquer le post les 3 premiers jours après l'inscription, tant qu'on n'a pas passé au moins 5 minutes sur la page de la charte, ou le permettre seulement une fois qu'on a atteint le niveau 5 dans le jeu... Là pour appliquer la bonne limitation il faut savoir ce qu'on vise, c'est pas forcément facile de ne pas brider injustement les honnêtes gens.
4 - Blacklist d'adresse IP, mais attention aux faux positifs
5 - ET seulement en guise de n°5 on en arrive aux CAPTCHA invasifs, parmi lesquels je préfère nettement ceux qui posent des questions simples
html, javascript, blagues, midi, etc. => http://quentinc.net/