[Galerie] Réalisation de CAPTCHAs

Citation : Neoterranos
Ou mieux, que personne ne puisse le lire, sauf les bots .

Il suffit de demander un résultat erroné ("Entrez autre chose que le résultat de 2+2"), et les bots génériques ne passeront pas (ils donneront la bonne réponse ).
Ensuite, pour que ce soit plus sécurisé (un bot codé avec les pieds se vautrera lamentablement eet passera parce qu'il se sera trompé ), il faudrait faire des calculs plus complexes, et vérifier la cohérence du résultat. Mais bon, pour coder un tel algorithme, efficace en plus, bonjour le boulot (est-ce seulement possible ?)...

EDIT : Peut-être une idée encore meilleur :

On peut récupérer la date de la requête du client grâce à la variable $_SERVER['REQUEST_TIME'], ce qui correspond au début de chargement de la page.
Selon le formulaire, on évalue le temps minimal pour le remplir, on fout un CAPTCHA bidon et parfaitement lisible (pour berner les bots), et on vérifie que le temps passé sur la page ne dépasse pas ce temps minimal .

Par exemple, pour un post dans un livre d'or, on évalue à une dizaine de secondes, un mail de rapport de bug, au moins une minute, etc.

De plus, un bot ciblé qui ne passe pas par la page du formulaire (qui se contentera de récupérer l'image du CAPTCHA et d'envoyer la requête) sera détecté facilement, étant donné qu'il n'aura pas la variable d'arrivée sur cette page .
Ce serait par ailleurs un cas à gérer, car si on se contente d'effectuer la soustraction quoi qu'il arrive, son temps passé sur la page sera équivalent à timestamp()-0 = timestamp(), autrement dit beaucoup de temps, valeur qui sera de toute manière supérieure au temps minimal .

Bof, car pour écrire un rapport de bug, tu peux avoir besoin de détailler, de fournir des images, etc, ce qui peut te prendre une durée de temps pas prévisible. Il faut aussi prendre en compte la vitesse de frappe de l'utilisateur. Etc.

Sachant qu'un bot a la plupart un/des textes prédéfinis, la requête sera envoyé en un rien de temps, donc tu peux laisser un temps minimal bas .
Ou tu te bases sur l'action la plus rapide/basique de sensée (ça filtrera en prime les "kikoolol" gênants sur un formulaire de contact ), écrite par une personne écrivant assez vite .

l'idée est intéressante, mais sitôt qu'elle est créée, elle est vouée à l'échec : il suffit de dire au bot "attend tant de temps avant d'envoyer la réponse". Mais c'est vrai que ça aurais fait que les constructeurs de bots se seraient arrachés les cheveux.

Je précise que tout ce qui est "écriture d'une question" (comme "combien font 2+2) est à exclure : sauf si votre banque de type de question est très très très très grande, le pirate en aura vite fait le tour. Après, il lui suffira, soit d'enregistrer directement les réponses (si vous avez des questions statiques) soit de définir une règle de réponse si vos questions sont pseudo-statiques (j'aurai bien dit "méta-statiques", mais les médicaux me serait tombés sur le dos). Ceci dit, cette dernière solution suffira peut être à en décourager une partie. Et elles ont de plus un gros défaut : elle ne sont pas compréhensibles par des personnes étrangères. Bon, cela ne dérangera pas certains, mais si vous mettez une question comme "2 + 2 n'est pas égal à: ", les étrangers vont très majoritairement mettre 4 (car ne comprenant pas la question ).

ceci dit, une petite approche "mathématique" peut aider :
1) le pirate est du coté utilisateur. Il peut donc, a priori, faire tout ce qu'un utilisateur sait faire.
2) le pirate est un programme, commandé par un humain : il peut donc faire tout ce qu'un humain sait faire mais la complexité qu'il aura à le faire augmentera de façon exponentielle par rapport à celle d'un autre humain : il faut coder le programme.
3) toute méthode "géniale" trouvée est automatiquement trouvé par les pirates. Leur communautée est très active, et ils sont généralement au courant des mesures de sécurités qui existent avant tout le monde.

Cependant, je me pose une question : si votre page est de type https (c'est à dire qu'elle utilise une connection ssl), est-il possible de récupérer la clé publique envoyée par l'utilisateur. De cette façon, si deux requètes ont la même clé publiques avec trop peu de temps d'interval, il suffit de ne pas en tenir compte. Et à ce que je sais, la création de clé ssl prend du temps (ben oui, pour trouver des nombres premier "très grand", ce n'est pas évident ).

Je me demande si il y aurait une solution à ce niveau

Pourquoi tu parles de pirates ?
On s'en tamponne des pirates, nous on veut éviter les bots de spams publicitaires pour des sites te vendant du viagras ou autre joyeuseté.

Parce que de toutes façons, c'est impossible d'empêcher un bot ciblé d'arriver à ses fins, au pire, le hacker qui veut te faire chier créera un bot, s'inscrira lui-même sur ton site et donnera les logins au bot et voilà.

Pourquoi faire simple quand on peut faire compliqué...

oui, même si je connais le sens du mot pirate, j'en ai ma propre définition : "un pirate est une personne qui utilise ses connaissances en programmation et en informatique en vue de réaliser des opération illégales". J'ai mit "illégales", mais je n'en connais pas la définition super exactes stricto sensus. Par contre, ça englobe les hacker, les pirates classiques, les constructeurs de bots et même les concepteurs de virus et les "décompilateurs/rediffuseurs".
Ceci dit, il y a dans la définition "connaissances en programmation", donc ça ne regarde pas les lam

Pour en revenir à ce que tu dit, c'est vrai que tu as raison d'un coté, il peut toujours faire l'inscription à la main. Mais prend l'exemple des hébergeurs de forum : il héberge des milliers de forums, et généralement, la procédure d'inscription est standardisée, et utilise un captcha. Donc, faire les inscriptions à la main deviens impossible, et le fait de pouvoir automatiser la procédure deviens un avantage non négligeable

Ceci dit, c'est vrai que pour une partie des site (disons... 95%) se casser les pieds avec un super-captcha-de-la-mort-qui-tue ne sers pas à grand chose

Image retirée.

Et que penses-tu de celui-là ?
Prends les 8 caractères de la même couleur qui te sautent aux yeux.

De toutes facons, si un pirate le veut, son bot passera sur n'importe quel captcha, faut pas rêver >.<. D'ou, pour freiner les viagras et compagnie (bots génériques), le simple "Combien font deux plus deux ?" (les deux nombres et l'opération étant aléatoire) suffit... >.<.

Déjà que le bruit et les barres ne gênent absolument pas un bot, ça le gênera encore moins si le texte est au-dessus de tout ça .

Et tu facilites la tâche aux bots en indiquant précisément ce qu'il faut ("les 8 caractères de la même couleur").

alors, en première approche, j'obtenais :
http://i51.servimg.com/u/f51/09/01/50/74/result10.png
génant, cela me posait des problèmes pour retrouver les lettres.

Alors j'ajoute un petit flou gaussien avant le traitement et hop :
http://i51.servimg.com/u/f51/09/01/50/74/result11.png

c'est déjà mieux mon programme me permettait de retrouver quelques lettres (sauf le Z qu'il prenait pour un 2 ).
J'y rajoute une petit couche (en fait maintenant j'applique un "pot de peinture" sur les zone qu'il reste de la seconde méthode. Mais je l'applique dans l'image d'origine )

http://i51.servimg.com/u/f51/09/01/50/74/result12.png

et voila, mon programme ls reconnais dans problème et je peux automatiser le tout

autre chose ?

Ouais, donc de toutes façons, faut des fake letters de la même couleur que celles d'origine, mais faut les démarquer pour le visiteur.

Et celui-là (d'un autre membre) ?


PS : Le captcha de Tracker me donne une idée, au lieu de rajouter des fake, je vais peut-être exploiter la superposition de lettres.

IL est difficilement visible ce captcha :-/

Oui, et que faut-il lire? Tout? Juste certaines lettres?

J'avais pensé à un CAPTCHA reprenant le principe du "test de daltonisme" mais je n'avais pas réussi à l'implémenter.

Un peu comme ceci :

Et les daltoniens alors?

Citation : Neoterranos

voila :



alors, en fait le collage de toutes les lettres dans le même fichier, c'est moi (par simple copié collé). Dans la réalité, je ne le ferais bien sur pas !
Les lettres que vous voyez avais été isolé dans des fichiers, et c'était les seul fichiers qui avait été isolés. Elles ont été reconnues sans problèmes. Mais disons que je ne voulais pas uploader 7 fichier juste pour le plaisir

c'était assez ennuyeux :-°<image></image>

J'ai fait un nouveau captcha, votre avis ?

Ton brouillage (lignes et cercles) est inutile, il suffit de prendre la même couleur de texte... par contre, que les lettres ne soient pas remplies, et parfois se superposent est une chose efficace contre les bots généraux, après un bot ciblé pourra sûrement trouver une solution, mais je m'arrête là, mon captcha je l'aime bien mais j'y connais pas grand chose.

PS : Mon captcha est le suivant :
Il n'y a pas de zéro
On me dira que mon brouillage est tout aussi inutile, mais sans, le captcha est moche et fade.

Les lignes sont décoratives.
Ton captcha est joli, mais quelles lettres on doit prendre ?

C'est marqué en blanc sur noir

Effectivement, j'étais un peu dans le gaz faut dire

Citation : Artefact2
Génial pour le site anti-daltoniens.

J'ai montré ce captcha à un ami daltonien, il voit respectivement 2, 96 et 78 . Le premier est bon, mais avec les deux autres, il ne pourra pas passer le CAPTCHA, et pourtant c'est un humain .

En plus, ce n'est peut-être pas si sécurisé que ça : un bot peut analysr les différentes parties de l'image et les comparer individuellement à celle d'une BDD spécifique, grâce à laquelle il retrouve les valeurs correspondantes.
Et il existe sûrement des algorithme capables d'isoler chaque chiffre (en se basant sur les couleurs) et de retrouver le bon code.

Donc en plus de ne pas avoir un CAPTCHA infaillible (je commence à douter que ça existe ...), tu risques de bloquer le daltoniens .

Citation : Torajio Bangani

merci d'avoir répondu, c'est exactement ce que je voulais dire, mais j'ai eut la flemme.

Pour la deuxième image, je sais pourquoi il voit 96 (en fait, il y a un 96 si on considère certaines bandent de point qui sont gris au lieu d'être verts )

sinon, pour ta dernière remarques, c'est un peu l'analyse que j'avais faite plus haut :
Citation(d'ailleur il faut dire : "le bot est un programme commandé par un humain etc" )

Je pense que même si je n'ai pas encore réussi à le démontrer 'c'est assez complexe, mais je peux déjà dire que la complexité n'est pas vraiment exponentielle . Ceci dit, c'est une sorte d'expression ici ).

Mais il est vrai que le principe même du captcha repose sur un fait constaté, à savoir que les ordinateurs "ont du mal à reconnaitre les formes". Mais comme il ne s'agit que d'une simple constatation, et que l'on ne peut pas mettre de vrai algo dessus, tout ce que l'on fait ce n'est que du balbutiement. Donc, c'est "plus ou moins" sécurisé, avec des niveaux très variables. Le captcha scientifiquement conçus" pour ne pas être brisé n'existe pas encore.

pas évident de s'en sortir dans tout ça : /

Et un truc comme ça ?



Bon, c'est pas über-lisible, mais ça l'est quand même

Bonjour le mal de crane...

Ben quoi, c'est coloré, ça met de bonne humeur

Nan mais sur l'idée, je pense que le le bot aura du mal à s'appuyer sur les couleurs, non ?

Sur les couleurs oui, mais pas sur les formes, le défaut de ton captcha c'est que les parasites sont tous rond.

Voici une idée de captcha :




L'explication à l'utilisateur : L'image constitue une opération entre deux chiffre, addition ou soustraction.
Les chiffres sont soit "arabes", soit "romains".

Le problème pour le bot :

Mélange des type, chiffres romains ou arabe ou lettre ?
Les caractères sont difficilement identifiables car les points de hautes couleurs force à élargir la palette de couleur, donc le contraste recherché plus grand, hors les caractères s'intègrent de façon très proche au dégradé.

Mode de génération :

Création d'un dégradé de couleur aléatoire, mais éloignées.
Détermination de l'expression
Détermination des tailles aléatoires des caractères dans des plages définis. Chaque tailles a une correspondance en surface occupé. On détermine aléatoirement dans la partie gauche un point d'affectation du premier caractère, et on y attache le coin supérieur gauche du caractère.
On fait de même pour le caractère droit.

Pour le signe, pour tracé une ligne (il en faudra "deux" pour le plus, une pour le "moins"), on déterminera deux lignes aux coordonnées aléatoires espacée d'un maximum de 20 pixel par exemple. A partir des lignes tracé, on détermine une matrice trapézoidale. Dans cette matrice, on détermine aléatoirement 10 coordonnées de centre de cercle de couleurs différentes (ce n'est pas le cas sur mon exemple) , et on trace des cercles qui dessineront, accolés, la, puis les, lignes.

Enfin, on choisi une couleur très proche de celle de l'endroit du point d'affectation pour colorer les chiffres.

Cela peut paraître un peu compliqué, mais ce serait ultime contre les bots.

Mon exemple est moyennement lisible sur la droite, mais ce n'est qu'un exemple fait en 60 secondes montre en main, et les paramètres demandent à être ajuster.

Enjoy.

Ca reste difficilement lisible par tout le monde.

Feng Huang => c'est 7 + 3 ?
Clems => et en méttant une majoritée de couleurs claire dans les lettres ça rendrai un peu plus facile a lire ? et si le probléme c'est que tout les parasite sont rond ont peux y rajouter des triangles et des carrés

clems : enfin du nouveau dans les captcha très bonne idée !