spam perturbant la bonne gestion d’une page contact

frob

Je tente d'élucider la démarche qui serait la plus appropriée respectant l'accessibilité et serait aussi efficace. Mes recherches des derniers jours tournent autours de CaptchaGuest ou ReCaptache. Questions écrites en lettres ou images (p-e moins accessible mais plus agréables) pour dérouter les robots qui semblent devenir de plus en plus perfectionnés; quels conseils ou expériences vous auriez? LaGlobule toi tu fonctionnes avec images...de quelles façon s'y prendre, avantages vs inconvénients.

Merci à tous!
Frob

LA GLOBULE

De toutes façons, met toi bien en tête que n'importe quel captcha est scriptable.
Dire qu'un captcha est fiable à 100%, c'est une connerie.
Des gens s'amusent même à démontrer que les captcha, ben ca ne sert à rien.

Donc demande toi quel intérêt as tu d'utiliser un captcha ? Elle est la la vraie question.

Pour ma part, j'utilise un captcha très simple développé en quelques dizaines de minutes. Mon but était initialement de limiter les insertions de liens de sites de cul dans le wall de lephpfacile.

Le captcha est simple, facilement scriptable, mais suffisant pour "bloquer" ce genre d'insertion. Parce que les gens qui insèrent des liens de sites de cul, ils cherchent surtout des formulaires de contacts mal codés permettant de spamer le monde (via l'injection de retour chariot dans les variables passées au formulaire). Et ce ne sont pas des gens qui "insistent", donc mon captcha très simple suffit à bloquer ce genre se spam.

Sinon, dis toi aussi que plus le captcha est complexe, plus les bots auront du mal à le cracker (mais ils y arriveront) et plus les "vrais" gens auront aussi du mal à "comprendre" ton captcha (que ce soit une image ou une question ou n'importe quoi).

frob

Je croyais utiliser un captcha pour retourner à l'utilisateur son mot de passe perdu et une boite de contact. Je ne suis pas encore rendu à faire des forums public mais pour ce à quoi je décris au début, je crois nécessaire de la faire.

Une technique ?, une suggestion?, une recommandation? Ma recherche m'a permis d'en trouver quelques uns mais vu mon expérience réduite j'ai de la difficulté à les évaluer. Je peux rajouter de plus que je le fais de façon préventive (et éducative) car je n'ai pas encore mis en fonction mon site.

Merci
Frob

JuTs

salut.

Pourquoi as-tu besoin d'un CAPTCHA pour un formulaire permettant aux utilisateurs de récupérer leur mot de passe ? Je ne saisis pas là

frob

Ma façon de penser : (et peux me tromper) je veux éviter que les robots envoient une requête même si elle sera sans retour, pour éviter de surcharger la bande passante et le serveur (même si je ne crois pas présentement avoir un afflux important à mon site lol)

J'apprécie que tu t'interroges sur mes démarches et je ne demande pas mieux....c'est ce que j'aime pour trouver la façon optimale de faire les projets en les voyant sur un autre angle.
Frob

LA GLOBULE

Ben une chose est sure, depuis que j'ai mis mon captcha, je n'ai jamais vu autant de bots essayer de cracker mon formulaire. Les captcha attirent les spammeurs, car ils se disent qu'il y a de la fonction 'mail' de PHP derrière, donc potentiellement une faille à exploiter.

frob

Content de connaitre tes commentaires. Maintenant, c'est de savoir si tu en remettre un une prochaine fois connaissance les conséquences.

Est-ce que tu crois que les robots lisent l'attribut "title" ou "alt" de la balise que l'on créer pour le captcha?

A+
Frob

JuTs

A mon avis en faisant ainsi tu riques de le surcharger encore plus, car tu le serveur devra alors générer l'image captcha lors de l'affichage du formulaire et lors de l'envoi il devra vérifier que la valeur entrée dans le champ de vérification. Bon d'accord, c'est pas grand chose :-) Tout ce que tu gagneras c'est l'exécution de la fonction mail, et la vérification de l'existence de l'utilisateur.
Pour ce qui est de la bande passante tu n'économisera rien puisque CAPTCHA ou pas l'appel de la page du formulaire et son envoi se fera. En fait tu vas même y perdre puisque qu'il y aura une requête supplémentaire de la part du navigateur parce qu'il devra récupérer l'image CAPTCHA ;-)
Bref, le gain, s'il y en a un, est vraiment minime.



J'ai fait un CAPTCHA de ce genre (une image affichant un texte + même texte dans le paramètre alt de la balise img) pour un livre d'or et dans mon cas je n'ai pas encore eu de problème. Mais ce n'est pas forcément une référence.

Les applications très courantes (ex : forum phpBB) sont probablement beaucoup plus vulnérable qu'un formulaire spécifique à un site. Je me souviens avoir eu des problèmes avec phpBB. J'ai du essayer trois systèmes anti-spam avant d'avoir quelque chose d'efficace.

Dernière remarque (ce n'est qu'une supposition et mon avis) : un formulaire composé uniquement d'un champ et d'un bouton (par exemple un formulaire de récupération de mot de passe, ou de recherche simple) et peut-être moins "sensible" qu'un formulaire composé d'un ou plusieurs champ text et d'un champ textarea, cas typique de formulaire de contact (donc avec fonction mail derrière).
J'ai eu en cas de ce genre dernièrement. Un formulaire permettant aux visiteurs de commenter les nouvelles publiées sur le site. Et bien au bout de deux semaines les commentaire était remplis de liens vers des site peu recommandables. J'y ai ajouté un système CAPTCHA de ce type là : http://www.snook.ca/archives/other/effective_blog_comment_spam_blocker/
Je ne peux pas encore faire de commentaire sur son efficacité, je viens de le mettre en place.

frob

Super intéressant JuTs. J'aime ton approche personnelle. Je vais regarder l'adresse que tu m'as donné ; elle semble avoir des théorèmes intéressants.
Merci
Frob

burnedsoul

Personellement, j'utilise pas de captcha pour mon site et je n'ai pas encore eu de problèmes à recenser depuis ...

Il est vrai que j'ai un système de membres qui ne peuvent poster que lorsqu'ils sont loggés, mais j'ai également une page inscription qui pour le moment n'a jamais été spammée et pourtant sans captcha.

Comme dit plus haut, les captcha sont un attire-bot apparemment, c'est pouquoi j'en ai pas mis.

Après cela vient peut être du fait que je test si le dernier post entré n'est pas le meme que celui entré juse avant, que je limite l'action à une fois / 30 secondes, etc.