Buzii Captcha et fiabilité !Résolu

Question

Salut chez vous !

J'aimerais votre avis sur la fiabilité d'un Captcha tel que celui-ci:

http://www.buzii.com/buzii_captcha.php

Je vous remercie par avance.

cs_kikifrance · Accepted Answer

Oui. Ce que j'ai présenté est une ébauche, j'ai codé ça parceque je trouvais rien qui ne tenais en un seul fichier. Et surtout, je voulais un truc ou les textes ne sont pas hypers déformés et lisibles.

Parfois, je vois des captchas qui sont autant anti-humains qu'anti-bots.

Je vais refaire une version avec des images univoques (je crois qu'on dit comme ça pour dire sans ambiguité possible) et plus petites.

Quand au multilingue, oui il faut d'autres versions c'est sur, mais en même temps ça ne nécessite pas beaucoup de changement dans le code. Juste remplacer "soleil" par "sun" par exemple.

La parano vient du fait d'un membre de phpcs, qui démontre sur son site ici ., que des captchas complexes sont assez "facilement" crackables.

J'espère qu'il pourra donner son avis sur ma programmation.

syndrael · Answer

Ben ça a l'air par mal à mon sens.. Il faut pas tomber dans la parano non plus.. Par contre, pour le nom d'animal tu risque d'être embeté par ceux qui ne connaissent pas forcement l'orthographe.
S.

cs_kikifrance · Answer

Disons que celui de phpbb3 a été craqué apparement, et qu'une majorité semble craquable.

J'espère apporter une solution fiable.

Quand à l'orthographe des animaux, c'est vrai que l'hippopotame, j'ai du prendre mon dico

On peut aussi mettre des images simples.

Merci pour ton encouragement. En tout cas.

kohntark · Answer

Salut,

J'aime bien l'idée et le design simpliste et clair des images. Par contre il prends vraiment trop de place si l'on souhaite l'intégrer dans une page qui ne lui est pas un minimum dédiée.
Je rejoins Syndrael, c'est à mon avis trop complexe niveau orthographique (hippopotame, coccinelle, ...) et, même si les images sont très bien faites, certaines peuvent prêter à confusion (chat/chaton, cobra/serpent, ...)

Je ne suis pas expert en la matière mais je ne pense pas qu'il existe de captcha lisible et utilisable (sans s'y reprendre à 10 fois) indéchiffrable.


Cordialement,

Kohntark -

syndrael · Answer

Surtout que ce sera un captcha francophone.. Ca limite pas mal sauf si tu demandes de cliquer sur un drapeau en même temps pour le choix de la langue.
S.

kohntark · Answer

Re,

Je viens de rejeter un oeil.
Je n'avais pas fais gaffe la première fois (ou peut être as tu modifié qqchose depuis), mais ton captcha est en fait ultra facile à casser.

Moi qui suis pourtant lent je n'ai mis que 15 minutes à écrire un petit robot :
http://kohntark.fr/dev/buzii_captcha.php

 va falloir corriger les failles Monsieur KikiFrance 

 Bonne journée à toi,



Kohntark -

cs_kikifrance · Answer

Et il ose me dire bonne journée 

Je suis en train d'apporter des modifs, mais je ne pensais pas que ce serait si facile


Je me repenche sur le problème en rentrant du boulot.

Buzii

kohntark · Answer

Et il ose me dire bonne journée 
Tu l'auras compris, c'est en toute sympathie 

D'ailleurs le sujet est intéressant, et "just for fun" j'ai créé un petit captcha à la volée :
http://kohntark.fr/captcha/index.php

Si tu veux prendre ta "revanche" n'hésites pas 

J'ai également ouvert un thread sur le sujet :
http://www.phpcs.com/forum/sujet-CRACK-CAPTCHA_1391017.aspx


Cordialement,

Kohntark -

cs_kikifrance · Answer

Tu l'auras compris, c'est en toute sympathie

Je me doute, et moi de mon coté, ça me permets de corriger les failles.

Je jetterais un coup d'oeil à ta réalisation, mais je ne fais de la programmation qu'a mes heures perdues et le Javascript, je ne connais pas.

Je suis en train de réparer mon erreur en même temps...

Buzii

cs_kikifrance · Answer

Salut à vous !

Meilleurs voeux à la planète phpcs.

Je me suis mis aux fonctions GD du php pour refaire mon affichage et donner un peu de fil à retordre à kohntark. 

Je ne suis pas sur de mon coup, m'enfin, j'ai bossé pour ça.

Je rencontre un problème par contre une fois sur 8 environ pour l'affichage de l'image.php
qui buggue et je ne comprends pas pourquoi.



Le nouveau Captcha est ici


Buzii

kohntark · Answer

Meilleurs voeux à toi aussi,


 j'ai retordu le fil => http://kohntark.fr/dev/buzii_captcha_v2.php

Réussite de cassage : 100%

 Bonne soirée à toi,


Kohntark -

cs_kikifrance · Answer

Ok ! Mais tu ne peux que si tu modifie ta propre page, pas sur un serveur sur lequel tu ne peux modifier le script ?

Par exemple, sur buzii, tu ne peux pas le casser ! Je capte pas 

Buzii

kohntark · Answer

Par exemple, sur buzii, tu ne peux pas le casser !
Sisi, je peux très facilement, et c'est ce que je démontre sur mon lien.
Ce lien n'est là que pour montrer le résultat, car effectivement je ne pourrais pas pré remplir le champ sur ton site, mais le but n'est pas là !

Le but est de déchiffrer le captcha; il resterait juste à faire un post vers ton site pour que ça passe à tous les coups.



Cordialement,



Kohntark -

syndrael · Answer

Kohntark,
Meilleurs voeux pour 2010.. avec plein de PHP à la clé !!
Si tu peux lui montrer comment tu casses son captcha, peut-être que ça lui permettra de chercher une parade.
S.

kohntark · Answer

Salut Syndrael,

Très bonne année à toi aussi ... avec plein de PHP à la clé !! ... et peut être un peu plus en ce qui me concerne, histoire de réduire ma nullité dans d'autres langages.

Si tu peux lui montrer comment tu casses son captcha, peut-être que ça lui permettra de chercher une parade. 
Bien sur que je lui montrerai si il sèche, mais pas avant sa réponse et un minimum de "brainstorming" comme j'ai pu le faire.
Bon, c'est vrai, c'est ultra simple en l'état actuel, mais je ne doute pas que Kikifrance cherchera à identifier par quel biais je passe pour casser son captcha à 100%, comme il l'a déjà très justement fait depuis sa première version.
Je ne doute pas non plus que ce "combat" finisse à son avantage.

J'aime bien ce genre de thread, ça change un peu des sempiternels types de questions que nous connaissons.

Bonne soirée,


Kohntark -

syndrael · Answer

Oui, c'est clair, c'est toujours intéressant..
Ca l'aurait été encore plus si j'avais le temps de me pencher sur ce captcha, mais j'ai une vie autre que le PHP. Vous en doutiez ?? LOL !!
Je vous rassure. au boulot aussi ils sont surpris.
S.

cs_kikifrance · Answer

Salut !

C'est vrai que je préfère chercher plutôt que demander. Je ne suis pas sur mon pc là, mais je pense que tu utilise directement la variable de vérification qui est comparée au $_post du captcha.

J'aimerais proposer un seul script à installer dans un seul fichier, alors je dois jongler avec cette seule page. 


Ce qui me limite dans le passage des valeurs.


Je vais continuer à réfléchir.


Buzii

kohntark · Answer

C'est vrai que je préfère chercher plutôt que demander.
C'est un peu ça qui fait que ça change des nombreux autres posts.

mais je pense que tu utilise directement la variable de vérification qui est comparée au $_post du captcha.
Serais tu sur une bonne piste ? 

J'aimerais proposer un seul script à installer dans un seul fichier, alors je dois jongler avec cette seule page. 
C'est une bonne idée de proposer un truc hyper simple pour les utilisateurs, mais cette restriction ne t'empêche nullement de corriger cette très grosse faille.
Le captcha que j'ai pondu vite fait (lien dans un précédent message) t'aidera peut être à déterminer et à réfléchir sur les transactions client/serveur et par extension "je donne des informations primordiales à l'utilisateur / je n'en donne aucune"
J'apprécierai que tu postes ton code de vérification, par simple curiosité.
Etant donné qu'il a été cassé et qu'il doit être revu tu n'as rien à craindre. Par contre garde bien au chaud ton script de génération de l'image.

Comme Syndrael j'ai également une vie hors de PHP&Co, j'espère (Syndrael) que tu réserveras un peu de temps pour t'attaquer férocement à Kikifrance, ou plus exactement à son captcha , histoire que je ne sèche pas lamentablement sur son déchiffrage.

Cordialement,

Kohntark -

Tonio_35 · Answer

Hello,
Je reprends ce post un peut en cours de route et je n'ai pas eu le temps de trop me pencher sur le captcha mais à vue d'œil sachant que tu appel ton image avec un tas de variable derrière, je me pose la question suivante :

Attention ceci peut être un spoil de recherche  : (Blanc sur fond blanc)
vvvvvvvvvvvvvvvvvvvvvvvvv
Utilise tu les sessions ? C'est un bon moyen pour associer une variable à un utilisateur sans qu'il n'y ai accès directement...
^^^^^^^^^^^^^^^^^^^^^^^^^
Peut-être que tu utilise déjà cette technique, comme je l'ai dis je n'ai pas eu le temps de rattraper le fils de tes travaux...

PS : Aux admins CodeSource, ce serais pas mal une balise Spoiler dans l'editeur
_________________________________
Min iPomme

syndrael · Answer

Je reconnais que j'ai passé un petit quart d'heure hier sur le sujet. Un coup de firebug pour piquer le nom du fichier image, de voir le nom 'encrypté', de sourciller sur le 'taille = ?'.
Hormis cela c'est tout.. Je pense être sur la bonne piste.
S.

cs_kikifrance · Answer

Vous m'inquiétez avec votre simplicité à décoder. J'adore essayer de programmer, mais j'ai de graves lacunes car je n'ai jamais eu la moindre formation au php. J'apprends au fur et à mesure.

Pour les sessions, j'ai déja vu ça au hasard du net, mais j'avais encore pas trop compris à quoi elles servaient. Je vais voir à utiliser cet outil dès que j'aurais un peu de temps.

Je mettrais aussi le code de vérification, mais il sera interdit de se moquer 


Parfois, çà resemble à n'importe quoi, car, comme je ne sais pas trop comment faire, je ne prends pas les raccourcis nécessaires. 

Pour ton code, khon, j'ai regardé, je n'ai pas réussi à faire le moindre lien entre ta valeur associée à l'image et le résultat attendu.

...Affaires à suivre. 

Buzii

Tonio_35 · Answer

Et bien les sessions t'éviterons d'écrire par exemple le code de ton image... Au lieu de le passer dans une variable d'url tu le passeras dans une variable de session !


_________________________________
Min iPomme

Buzii Captcha et fiabilité !

22 réponses

Votre réponse

Discussions similaires