J'utilise le captcha simple à l'inscription (parano, des inscriptions bizarres, mais aucune action ultérieure). Pour les forums, des CMS connus des spammeurs, c'est indispensable et déjà inclus. Captcha pour commentaires des anonymes, sinon Viagra. Tout dépend du succès et de l'indexation dans les moteurs recherche.
Le captcha au login, après 5 erreurs password. Ca bloque bien les nombreux ados tricheurs qui essayent de découvrir le password de leurs potes/cousin (date naissance, etc), voire qui utilisent des plugins Firefox d'automatisation pour des attaques brute force. Pour le login ou gêner les bots de joueurs (automatisation/triche, Snoopy), j'ajoute des tokkens (identifiants de formulaire) et un cryptage javascript à clé publique (imitation SSL sans certificat) pour embêter les scripts kiddies. L'attaque du milieu semble néanmoins classique au lycée (Firesheep).
Sur un jeu, niveau sécurité, les modos/admins sont même identifiés par des IPs "valides" (FAI+ville+cookie) pour obtenir les droits admin. Le jeu a ainsi été protégé le jour où un jeune admin s'est fait hacké son compte MSN/hotmail... :cogne:
En plus, s'ajoutent tous les trucs pour sécuriser PHP... Suis pas parano, mais dans mon « 1% de joueurs crétins » j'ai toujours 1 ou 2 "justiciers" (bannis pour triche), avec quelques connaissances info (et beaucoup de temps à perdre) pour essayer de tout casser (bot, XSS, injection, proxy...). :motard: Au fil du temps, j'ai l'impression que 50% du codage est dédié à la sécurisation (triche, hack) des fonctions ludiques. :pleure2:
Le captcha au login, après 5 erreurs password. Ca bloque bien les nombreux ados tricheurs qui essayent de découvrir le password de leurs potes/cousin (date naissance, etc), voire qui utilisent des plugins Firefox d'automatisation pour des attaques brute force. Pour le login ou gêner les bots de joueurs (automatisation/triche, Snoopy), j'ajoute des tokkens (identifiants de formulaire) et un cryptage javascript à clé publique (imitation SSL sans certificat) pour embêter les scripts kiddies. L'attaque du milieu semble néanmoins classique au lycée (Firesheep).
Sur un jeu, niveau sécurité, les modos/admins sont même identifiés par des IPs "valides" (FAI+ville+cookie) pour obtenir les droits admin. Le jeu a ainsi été protégé le jour où un jeune admin s'est fait hacké son compte MSN/hotmail... :cogne:
En plus, s'ajoutent tous les trucs pour sécuriser PHP... Suis pas parano, mais dans mon « 1% de joueurs crétins » j'ai toujours 1 ou 2 "justiciers" (bannis pour triche), avec quelques connaissances info (et beaucoup de temps à perdre) pour essayer de tout casser (bot, XSS, injection, proxy...). :motard: Au fil du temps, j'ai l'impression que 50% du codage est dédié à la sécurisation (triche, hack) des fonctions ludiques. :pleure2: