Buzii Captcha et fiabilité ! [Résolu]

Signaler
Messages postés
32
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
9 novembre 2010
-
Messages postés
567
Date d'inscription
mercredi 4 octobre 2006
Statut
Membre
Dernière intervention
30 août 2011
-
Salut chez vous !

J'aimerais votre avis sur la fiabilité d'un Captcha tel que celui-ci:

http://www.buzii.com/buzii_captcha.php

Je vous remercie par avance.

22 réponses

Messages postés
32
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
9 novembre 2010

Oui. Ce que j'ai présenté est une ébauche, j'ai codé ça parceque je trouvais rien qui ne tenais en un seul fichier. Et surtout, je voulais un truc ou les textes ne sont pas hypers déformés et lisibles.

Parfois, je vois des captchas qui sont autant anti-humains qu'anti-bots.

Je vais refaire une version avec des images univoques (je crois qu'on dit comme ça pour dire sans ambiguité possible) et plus petites.

Quand au multilingue, oui il faut d'autres versions c'est sur, mais en même temps ça ne nécessite pas beaucoup de changement dans le code. Juste remplacer "soleil" par "sun" par exemple.

La parano vient du fait d'un membre de phpcs, qui démontre sur son site ici ., que des captchas complexes sont assez "facilement" crackables.

J'espère qu'il pourra donner son avis sur ma programmation.
Messages postés
2380
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
16
Ben ça a l'air par mal à mon sens.. Il faut pas tomber dans la parano non plus.. Par contre, pour le nom d'animal tu risque d'être embeté par ceux qui ne connaissent pas forcement l'orthographe.
S.
Messages postés
32
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
9 novembre 2010

Disons que celui de phpbb3 a été craqué apparement, et qu'une majorité semble craquable.

J'espère apporter une solution fiable.

Quand à l'orthographe des animaux, c'est vrai que l'hippopotame, j'ai du prendre mon dico

On peut aussi mettre des images simples.

Merci pour ton encouragement. En tout cas.
Messages postés
3706
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
Salut,

J'aime bien l'idée et le design simpliste et clair des images. Par contre il prends vraiment trop de place si l'on souhaite l'intégrer dans une page qui ne lui est pas un minimum dédiée.
Je rejoins Syndrael, c'est à mon avis trop complexe niveau orthographique (hippopotame, coccinelle, ...) et, même si les images sont très bien faites, certaines peuvent prêter à confusion (chat/chaton, cobra/serpent, ...)

Je ne suis pas expert en la matière mais je ne pense pas qu'il existe de captcha lisible et utilisable (sans s'y reprendre à 10 fois) indéchiffrable.


Cordialement,

Kohntark -
Messages postés
2380
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
16
Surtout que ce sera un captcha francophone.. Ca limite pas mal sauf si tu demandes de cliquer sur un drapeau en même temps pour le choix de la langue.
S.
Messages postés
3706
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
Re,

Je viens de rejeter un oeil.
Je n'avais pas fais gaffe la première fois (ou peut être as tu modifié qqchose depuis), mais ton captcha est en fait ultra facile à casser.

Moi qui suis pourtant lent je n'ai mis que 15 minutes à écrire un petit robot :
http://kohntark.fr/dev/buzii_captcha.php

va falloir corriger les failles Monsieur KikiFrance

Bonne journée à toi,



Kohntark -
Messages postés
32
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
9 novembre 2010

Et il ose me dire bonne journée

Je suis en train d'apporter des modifs, mais je ne pensais pas que ce serait si facile


Je me repenche sur le problème en rentrant du boulot.

Buzii
Messages postés
3706
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
Et il ose me dire bonne journée

Tu l'auras compris, c'est en toute sympathie

D'ailleurs le sujet est intéressant, et "just for fun" j'ai créé un petit captcha à la volée :
http://kohntark.fr/captcha/index.php

Si tu veux prendre ta "revanche" n'hésites pas

J'ai également ouvert un thread sur le sujet :
http://www.phpcs.com/forum/sujet-CRACK-CAPTCHA_1391017.aspx


Cordialement,

Kohntark -
Messages postés
32
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
9 novembre 2010

Tu l'auras compris, c'est en toute sympathie


Je me doute, et moi de mon coté, ça me permets de corriger les failles.

Je jetterais un coup d'oeil à ta réalisation, mais je ne fais de la programmation qu'a mes heures perdues et le Javascript, je ne connais pas.

Je suis en train de réparer mon erreur en même temps...

Buzii
Messages postés
32
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
9 novembre 2010

Salut à vous !

Meilleurs voeux à la planète phpcs.

Je me suis mis aux fonctions GD du php pour refaire mon affichage et donner un peu de fil à retordre à kohntark.

Je ne suis pas sur de mon coup, m'enfin, j'ai bossé pour ça.

Je rencontre un problème par contre une fois sur 8 environ pour l'affichage de l'image.php
qui buggue et je ne comprends pas pourquoi.



Le nouveau Captcha est ici


Buzii
Messages postés
3706
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
Meilleurs voeux à toi aussi,


j'ai retordu le fil => http://kohntark.fr/dev/buzii_captcha_v2.php

Réussite de cassage : 100%

Bonne soirée à toi,


Kohntark -
Messages postés
32
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
9 novembre 2010

Ok ! Mais tu ne peux que si tu modifie ta propre page, pas sur un serveur sur lequel tu ne peux modifier le script ?

Par exemple, sur buzii, tu ne peux pas le casser ! Je capte pas

Buzii
Messages postés
3706
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
Par exemple, sur buzii, tu ne peux pas le casser !

Sisi, je peux très facilement, et c'est ce que je démontre sur mon lien.
Ce lien n'est là que pour montrer le résultat, car effectivement je ne pourrais pas pré remplir le champ sur ton site, mais le but n'est pas là !

Le but est de déchiffrer le captcha; il resterait juste à faire un post vers ton site pour que ça passe à tous les coups.



Cordialement,



Kohntark -
Messages postés
2380
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
16
Kohntark,
Meilleurs voeux pour 2010.. avec plein de PHP à la clé !!
Si tu peux lui montrer comment tu casses son captcha, peut-être que ça lui permettra de chercher une parade.
S.
Messages postés
3706
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
Salut Syndrael,

Très bonne année à toi aussi ... avec plein de PHP à la clé !! ... et peut être un peu plus en ce qui me concerne, histoire de réduire ma nullité dans d'autres langages.

Si tu peux lui montrer comment tu casses son captcha, peut-être que ça lui permettra de chercher une parade.

Bien sur que je lui montrerai si il sèche, mais pas avant sa réponse et un minimum de "brainstorming" comme j'ai pu le faire.
Bon, c'est vrai, c'est ultra simple en l'état actuel, mais je ne doute pas que Kikifrance cherchera à identifier par quel biais je passe pour casser son captcha à 100%, comme il l'a déjà très justement fait depuis sa première version.
Je ne doute pas non plus que ce "combat" finisse à son avantage.

J'aime bien ce genre de thread, ça change un peu des sempiternels types de questions que nous connaissons.

Bonne soirée,


Kohntark -
Messages postés
2380
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
16
Oui, c'est clair, c'est toujours intéressant..
Ca l'aurait été encore plus si j'avais le temps de me pencher sur ce captcha, mais j'ai une vie autre que le PHP. Vous en doutiez ?? LOL !!
Je vous rassure. au boulot aussi ils sont surpris.
S.
Messages postés
32
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
9 novembre 2010

Salut !

C'est vrai que je préfère chercher plutôt que demander. Je ne suis pas sur mon pc là, mais je pense que tu utilise directement la variable de vérification qui est comparée au $_post du captcha.

J'aimerais proposer un seul script à installer dans un seul fichier, alors je dois jongler avec cette seule page.


Ce qui me limite dans le passage des valeurs.


Je vais continuer à réfléchir.


Buzii
Messages postés
3706
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
C'est vrai que je préfère chercher plutôt que demander.

C'est un peu ça qui fait que ça change des nombreux autres posts.

mais je pense que tu utilise directement la variable de vérification qui est comparée au $_post du captcha.

Serais tu sur une bonne piste ?

J'aimerais proposer un seul script à installer dans un seul fichier, alors je dois jongler avec cette seule page.

C'est une bonne idée de proposer un truc hyper simple pour les utilisateurs, mais cette restriction ne t'empêche nullement de corriger cette très grosse faille.
Le captcha que j'ai pondu vite fait (lien dans un précédent message) t'aidera peut être à déterminer et à réfléchir sur les transactions client/serveur et par extension "je donne des informations primordiales à l'utilisateur / je n'en donne aucune"
J'apprécierai que tu postes ton code de vérification, par simple curiosité.
Etant donné qu'il a été cassé et qu'il doit être revu tu n'as rien à craindre. Par contre garde bien au chaud ton script de génération de l'image.

Comme Syndrael j'ai également une vie hors de PHP&Co, j'espère (Syndrael) que tu réserveras un peu de temps pour t'attaquer férocement à Kikifrance, ou plus exactement à son captcha , histoire que je ne sèche pas lamentablement sur son déchiffrage.

Cordialement,

Kohntark -
Messages postés
567
Date d'inscription
mercredi 4 octobre 2006
Statut
Membre
Dernière intervention
30 août 2011
10
Hello,
Je reprends ce post un peut en cours de route et je n'ai pas eu le temps de trop me pencher sur le captcha mais à vue d'œil sachant que tu appel ton image avec un tas de variable derrière, je me pose la question suivante :

Attention ceci peut être un spoil de recherche : (Blanc sur fond blanc)
vvvvvvvvvvvvvvvvvvvvvvvvv
Utilise tu les sessions ? C'est un bon moyen pour associer une variable à un utilisateur sans qu'il n'y ai accès directement...
^^^^^^^^^^^^^^^^^^^^^^^^^
Peut-être que tu utilise déjà cette technique, comme je l'ai dis je n'ai pas eu le temps de rattraper le fils de tes travaux...

PS : Aux admins CodeSource, ce serais pas mal une balise Spoiler dans l'editeur
_________________________________
Min iPomme
Messages postés
2380
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
16
Je reconnais que j'ai passé un petit quart d'heure hier sur le sujet. Un coup de firebug pour piquer le nom du fichier image, de voir le nom 'encrypté', de sourciller sur le 'taille = ?'.
Hormis cela c'est tout.. Je pense être sur la bonne piste.
S.