Captcha or not Captcha

That is the question

a marqué ce sujet comme résolu.

TL;DR : résumé ici

Zopieux pose la question suivante sur GitHub :

Mieux vaux prévenir que guérir. Il me semble crucial de munir la page d'inscription d'un captcha, même si l'on sait combien c'est énervant.

S'en suit alors une discussion qui mérite d’être mené publiquement (et non dans GitHub qui est bien moins visible) :

Un captcha a l'inscription est-il nécessaire ou non ?

Le but est bien sur de limiter les inscriptions de bot.

Voici les protections déjà existantes :

  • Les formulaires ont une protection CRSF (donc ne sont pas utilisables en dehors du site lui meme)
  • Une blacklist de provider email est utilisee (et devra etre maintenu) permettant de limiter les comptes poubelles

Comme dit sur GH, l'inscription est volontairement simplifie, un captcha risquerai donc de l'alourdir.

+0 -0

Pour l'instant on a pas de problèmes de bot.

L'approche sécuritaire serait de mettre quand même un captcha avant d'avoir le problème.

Cela dit, c'est lourdingue et ne pas en avoir tant que faire ce peut sert notre image, je pense (ouverture, inscription simple, tout ça).

L'idéal serait peut-être d'en mettre un en place uniquement pour les cas louches :

  • L'utilisateur a une IP déjà inscrite
  • L'utilisateur a essayé un fournisseur mail banni
  • L'utilisateur a essayé une adresse mail déjà utilisée
  • … autre ?
+9 -0

Je suis plutôt d'accord avec vous, un Captcha est plus horrible pour l'utilisateur que pour le bot. Mais l'idée de SpaceFox est intéressante.

Il faudrait mettre en place un protocole de cas louches alors ! J'ai une autre idée sinon :

  • L'IP de l'utilisateur vient d'une zone géographique suspecte ?
+1 -1

Dans le cas où il y aurait un captcha, vous vous suggère http://django-simple-captcha.readthedocs.org/en/latest/, assez simple et personnalisable.

Personnellement, je ne suis pas pour tant qu'il n'y a pas de SPAM.

+0 -0

Inaugure mon premier poste sur ZdS. :)

Puis faut penser au fait que question accessibilité, un capcha, c'est un peu la m*** …

Je confirme ! ;) Étant non-voyant, c'est le genre de truc qui m'embête bien. Même si, sur Firefox, il existe une extension pouvant nous déchiffrer ceux-ci (résultat pas toujours concluant).

Je rejoins donc l'avis de SpaceFox. Autrement, pourquoi pas un système de question-réponse ? Par exemple un système de calcul mental (combien font « 5 + 2 », quel est le carré de 4, l’exponentielle de 1…), ou encore des questions toutes bêtes (quel est le nombre de lettres dans <word>, etc.). Seul souci : la question de l'échantillon des Q/A.

Qu'en dites-vous ?

Par contre, si vous êtes menez à utiliser un captcha malgré tout, pensez à l'alternative audio, même si celle-ci demeure inaudible la plupart du temps (du moins en ce qui me concerne).

+8 -0

Je me disais aussi :) Et soit dit au passage, je suis pas contre l'idée des bêtes questions. Une fois encore, c'est à employer avec parcimonie, bien entendu.

D'ailleurs, hexahel, si tu as des remarques d'accessibilité sur le site, tu es le bienvenu pour en faire part sur le forum Bugs et suggestions, je pense que l'accessibilité du ZdS, c'est la moindre des choses.

+4 -0

Je suis aussi contre le captcha image qui, comme l'ont dit mes VDD, sont illisibles pour les humains mais pas pour les bots. De toutes manières, faut se metttre à l'évidence : si un type veut passer, il passera.

Du coup, je suis pour le genre de captcha très simple rebutant la plupart des bots (genre "combien de lettre dans <mot>", "combien font trois plus cinq", … etc)

+0 -0

Est-ce qu'à votre un avis la technique suivante peut-être suffisante ?

Créer un input tout ce qu'il y a de plus basique comme ceci : 

1
<input class="spam_catcher" type="text" name="spam_catcher">

Avec le css approprié pour le "virer" de la page avec un 

1
2
3
4
.spam_catcher{
    width: 0;
    height: 0;
}

Et après vérifier au niveau du back si ce champ est rempli ou non pour détecter un bot.

J'ai jamais essayé mais j'en ai entendu parler en bien.

+0 -0

Je vous suggère de préparer un patch fonctionnel ajoutant un captcha (ou autre solution qui marche) à cette page, sans pour autant l'installer. En cas de besoin, vous aurez juste à l'appliquer, ce qui prendra quelques secondes. Il faut à tout prix éviter d'être pris de court !

+13 -0

Inaugure mon premier poste sur ZdS. :)

Puis faut penser au fait que question accessibilité, un capcha, c'est un peu la m*** …

Je confirme ! ;) Étant non-voyant, c'est le genre de truc qui m'embête bien. Même si, sur Firefox, il existe une extension pouvant nous déchiffrer ceux-ci (résultat pas toujours concluant).

Je rejoins donc l'avis de SpaceFox. Autrement, pourquoi pas un système de question-réponse ? Par exemple un système de calcul mental (combien font « 5 + 2 », quel est le carré de 4, l’exponentielle de 1…), ou encore des questions toutes bêtes (quel est le nombre de lettres dans <word>, etc.). Seul souci : la question de l'échantillon des Q/A.

Qu'en dites-vous ?

Par contre, si vous êtes menez à utiliser un captcha malgré tout, pensez à l'alternative audio, même si celle-ci demeure inaudible la plupart du temps (du moins en ce qui me concerne).

hexahel

je rejoins l'avis d'hexahel. Étant semi-voyante et ayant méme eu une épisode de photophobie (suite à une uvéite) me demandant d'écraser le style des sites par un style sombre, je sais c'est quoi faire face à des problémes d'accessibilité. Je suis pour l'idée de la question/réponse où la paire Q&A est pigée au hasard dans une table dédiée.

+1 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte