Vérification d'un captcha en Javascript ?

[Odawin]

Bah le JS est là parce que c'est une exigeance du TFE, faut faire les validations de formulaire en JS avant d'envoyer le tout au serveur ^^ Alors je m'exécute... pas trop le choix xD Mais c'est clair que sa sert un peu à rien comme il faut refaire tout les tests en PHP... Le seul intérêt c'est d'éviter de trop solliciter le serveur avec des requêtes non valides.

Mais merci pour toutes les réponses, finalement j'ai vérifier le captcha en PHP avant l'envoi.

[Sephi-Chan]

Au contraire, valider les données par Javascript est utile puisque ça permet d'avoir un retour direct au grès de la saisie du formulaire. Et accessoirement, ça évite quelques appels inutiles au serveur. C'est curieux de penser davantage au serveur qu'à l'utilisateur.

En revanche, la validation du captcha n'a aucun sens puisqu'elle rend caduque la protection offerte en présentant sa solution dans le code source (ou dans la réponse d'un appel Ajax). Il faut réfléchir un peu.


Sephi-Chan

[Ter Rowan]

Bah le JS est là parce que c'est une exigeance du TFE, faut faire les validations de formulaire en JS avant d'envoyer le tout au serveur ^^ Alors je m'exécute... pas trop le choix xD Mais c'est clair que sa sert un peu à rien comme il faut refaire tout les tests en PHP... Le seul intérêt c'est d'éviter de trop solliciter le serveur avec des requêtes non valides.

Mais merci pour toutes les réponses, finalement j'ai vérifier le captcha en PHP avant l'envoi.

si c'est une exigence de tes profs cela veut dire :

1) ils veulent voir si tu sais valider tous les champs "standards", nom, mot de passe (montre que tu sais faire des regex) email (vérifier qu'une adresse a l air valide) mais n'ont pas pensé que tu testerais le captcha parce que c'est contre productif (ça détruit l'intérêt du captcha puisque ça permet à un bot coté client de reconnaitre le code à lire)

ou

2) c'est volontaire, ils te piègent car ils veulent savoir si tu vas tester le captcha (en le faisant tu démontres que tu n'as pas compris son intérêt)

ou

3) ils n'ont eux même pas compris les captchas, mais là j'en doute


réfléchis à l'intérêt de l'exercice ce qui est recherché derrière, n'applique pas simplement. Sinon, quand tu seras face à un client et que tu appliqueras "bêtement" sa demande, tu produiras un truc médiocre qui ne satisfera pas forcément le dit client. Envisage tout avec un oeil critique "que veulent ils réellement ?"

[Allwise]

(ou dans la réponse d'un appel Ajax).

Pourquoi ? La réponse de l'appel Ajax c'est juste "ok le captcha était le bon" ou "non le captcha n'est pas bon" non ?

+1 Ter Rowan.

[Sephi-Chan]

(ou dans la réponse d'un appel Ajax).

Pourquoi ? La réponse de l'appel Ajax c'est juste "ok le captcha était le bon" ou "non le captcha n'est pas bon" non ?

En revanche, la validation du captcha n'a aucun sens puisqu'elle rend caduque la protection offerte en présentant sa solution dans le code source (ou dans la réponse d'un appel Ajax).

Attention à la citation de fragment de phrase. Je parle d'un cas où la solution du captcha apparaît dans la réponse.


Comme Ter Rowan, je pense que ton problème est un piège à con. Tu es tombé dedans.

Un autre conseil plus général : n'utilise Ajax que quand c'est nécessaire. C'est facile de se laisser aller à faire tout et rien et du coup, ça nuit à l'utilisateur.


Sephi-Chan

[Anthor]

http://recaptcha.net/

[Melimelo]

J'avais proposé cela aussi puis j'ai effacé vu qu'il sagit d'un travail et donc le but est sans doute de le faire par soit même ...

[Anthor]

Qu'il s'agisse d'un travail ou non, ton choix en tant que développeur est d'utiliser une méthode consistante, qui ne sera pas lu par le premier BOT.
Si ensuite c'est pour reprendre un truc tout fait sorti dont ne sais où, la meilleure solution reste d'utiliser un service dédié.

Dans le cas des CAPTCHA, il n'y a vraiment aucune raison de faire quelque chose de non sécurisé. On utilise donc un service pro : http://recaptcha.net/

CQFD

[Odawin]

Bah ça ne gène pas les profs qu'on reprenne du code tout fait tant que TOUT le site n'est pas fait de ça quoi, et il faut aussi qu'on soit capable de l'expliquer ce qu'on à repris.

Finalement je l'ai vérifier en PHP je me suis pas casser la tête :p)
Merci pour votre aide ^^

Qu'il s'agisse d'un travail ou non, ton choix en tant que développeur est d'utiliser une méthode consistante, qui ne sera pas lu par le premier BOT.
Si ensuite c'est pour reprendre un truc tout fait sorti dont ne sais où, la meilleure solution reste d'utiliser un service dédié.

Dans le cas des CAPTCHA, il n'y a vraiment aucune raison de faire quelque chose de non sécurisé. On utilise donc un service pro : http://recaptcha.net/

CQFD

C'est sur que si le Captcha n'est pas performant ça vaut pas la peien d'essayer d'en faire un sois-même et autant reprendre un truc tout fait qui fonctionne. M'enfin ici pour mon TFE j'ai préféré en faire un, même basique mais au moins c'est moi qui l'ai fait et je montre que j'en suis quand même capable, quitte à le retirer et prendre un truc tout fait bien plus sur après la présentation :p

[genosite]

Tu peux vérifier ton captcha via ajax depuis le client.
1- lors de la génération du captcha tu creer un cookie avec le captcha crypté utilise le md5 avec clé de sel.
2 - Vérification champ "Tonchamp.value" que tu envoie a une page php ou ce que tu veut sur le serveur via ajax(pour la fluidité)
3 - Coté serveur tu recup le captcha.value et tu le compare avec le cookie

si tu n'a pas compris je te ferais un txt plus détaillé.