Titre du sujet : [Galerie] Réalisation de CAPTCHAs

T'es donc légèrement HS powange.

Citation : Fayden

Titre du sujet : [Galerie] Réalisation de CAPTCHAs

T'es donc légèrement HS powange.

je sais surtout quand je faisait la remarque auparavant
mais c'était pour signaler cette information apprise il n'y a que peu.

Allez fini le HS

Citation : Fayden

Titre du sujet : [Galerie] Réalisation de CAPTCHAs
T'es donc légèrement HS powange.

Ben non, justement, je ne vois pas l'intêret de poster des codes de captchas sans pouvoir ouvrir la moindre discussion autour d'eux.
Ce que dit powange est loin d'être HS puisqu'il parle de captchas.

J'avoue, d'ailleurs, que cette méthode me semble bizzard, faudrait un très bon code pour que ce que rentre le visiteur pervers aille dans la page avec le captcha...

Allez, continuez à poster vos oeuvres !

@powange :

inscription.php :


captcha.php


Ou plus simple encore : vive le .htaccess !

Citation : Blackhole

@powange :

inscription.php :

1. <?php
2. [...]
3. $on_est_sur_le_bon_site_ya_pas_de_probleme = true;
4. echo '<img src="captcha.php" alt="" />';
5. [...]
6. ?>

captcha.php

1. <?php
2. if ($on_est_sur_le_bon_site_ya_pas_de_probleme)
3. {
4. [...]
5. }
6. ?>

Mwais, bof...

Citation : Blackhole

Ou plus simple encore : vive le .htaccess !

Et si t'es pas sur Apache, tu fais comment ? Si les htaccess sont pas autorisés ?

C'est fou comme y a des gens qui aiment parler que pour parler.
Au lieu de parler en l'air et dire que les captcha sont nul niveau sécurité, et bien prouvez le nous!!!

Citation : ulried

:hum:

Rien qu'avec une astuce que "j'ai" trouvé (qui n'a pas été compris de tous mais qui est une serieuse faille) on peux quasiment cracké 70% captcha. Donnez moi une page pour laisser un message sur le livre d'or pas très très bien protégé (ex.un site perso) ou un syteme de commentaire et vous verrez que c'est vraiment très simple.

Pas besoin d'être un pro un bot pour entrer une date dans un champs (cf : Ishen) ou encore de mettre le titre du site (cf : eserdu27).

Sinon les captcha du genre 2+2=? On peut tenter jusqu'a ce qu'il crack et exploiter la session après.

J'ai du mal à comprendre, une démonstration serai la bienvenue.
Et la meilleur façon de nous expliquer serait de nous envoyer un code...
Sinon comme je l'ai dis une simple session_destroy est, à mon avis amplement suffisant.
Il me faudrais un exemple concrès pour que je me corrige, et non pas des "j'ai pu constater" ou des "j'ai trouvé sur internet"...

Tu sais... Quand on détruit une session... 'faut aussi s'assurer de détruire les variables de sessions, comme ca c'est fait...

Arg, honte à moi, la première ne marche pas, où avais-je la tête ...

inscription.php :


captcha.php

Citation : tnsaad

C'est fou comme y a des gens qui aiment parler que pour parler.
Au lieu de parler en l'air et dire que les captcha sont nul niveau sécurité, et bien prouvez le nous!!!

Citation : ulried

:hum:

Rien qu'avec une astuce que "j'ai" trouvé (qui n'a pas été compris de tous mais qui est une serieuse faille) on peux quasiment cracké 70% captcha. Donnez moi une page pour laisser un message sur le livre d'or pas très très bien protégé (ex.un site perso) ou un syteme de commentaire et vous verrez que c'est vraiment très simple.

Pas besoin d'être un pro un bot pour entrer une date dans un champs (cf : Ishen) ou encore de mettre le titre du site (cf : eserdu27).

Sinon les captcha du genre 2+2=? On peut tenter jusqu'a ce qu'il crack et exploiter la session après.

J'ai du mal à comprendre, une démonstration serai la bienvenue.
Et la meilleur façon de nous expliquer serait de nous envoyer un code...
Sinon comme je l'ai dis une simple session_destroy est, à mon avis amplement suffisant.
Il me faudrais un exemple concrès pour que je me corrige, et non pas des "j'ai pu constater" ou des "j'ai trouvé sur internet"...

Donne moi un captcha, c'est tous ce que je demande. Et le code est beaucoup tro p dangereux pour être publié comme ca sur le net. Si vous pensez : "Ouais celui la il se la petteee trop..." donnez moi un captcha je vous ferais une petite démo.

Moi je te dis choisis en un, le plus facile.
Sinon question de publié le code publie le, si tu a découvert une faille et que tu dis voilà la faille, cela ne sera que bénéfique pour nous car on sauras comment l'éviter.
Alors on attend avec impatience ton code...

Ok je vous fait ca.
Je vous montre la page et vous me dites combien de requetes vous voulez.
[Edit] http://www.scribeos.com/livreor.php (j'ai désecurisé mon site pour vous montrez). Ditez combien de requetes je dois faire.

Citation : Zopieux

Citation : Amenia

pour un captcha de 10 chiffre et lettre ça nous fait *calcul en cours* 2'758'547'353'515'625 possibilités.

Tu calcules ça comment, raconte-moi ?

Citation : Fayden

26 possibilités en lettre + 10 possibilités en chiffre = 36 possibilités à chaque lettre

Soit 36^10 qui donne : flemme de calculer

Voila exactement ça et ça qui donne ce que j'ai donné avant...

Tu l'a déssécuriser????
Ben c'est simple de flooder son propre site...
Je vais t'en donner un des captchas.
Le dernier captchas que j'ai réalliser.
Il se trouve sur mon site.
Essaie de le flooder(avec un bot biensur sinon si tu le fait à la main c'est con)

Voila, autour de 100commentaires en 1minutes. Te voilà convaincus

Pas mal.
Pas mal du tout.
Tu peux nous expliquer comment???
Parce que à voir mon captchas je peux le jeter à l'eau.

PS : Et c'est qui qui va nétoyer le flood?? Hein?

Moi aussi veut bien voir
Le flood s'enlève vite avec la BDD

Il l'a dit, il me semble... En détruisant les variables de session

Détruire la session en elle même... Oui, mais faut tout détruire

Ton code est loin d'être infaillible. Il ne fera que ralentir les robots.

Je t'invite aussi à reprendre les bases du langage HTML car visiblement tu ne les connais pas toutes

Citation : Emacs

Ton code est loin d'être infaillible. Il ne fera que ralentir les robots.

Je t'invite aussi à reprendre les bases du langage HTML car visiblement tu ne les connais pas toutes

?????
Ca veut dire quoi?

Hum, si le robot arrive a accéder au code contenu dans une des variables session (si j'ai bien compris), que se passe-t-il si je hash le code avant de l'attribuer a ma variable ?

Pas tout à la fois.
Déjà réglons le problème de tout les captchas du post.
donc il faut que avant que l'on fait session_destroy je fasse unset($image) et unset($code)
C'est ça??

Captcha de Connectix Boards (nouvelle version, il était plus que pourri avant).
Visible ici: http://beta.connectix-boards.org/forum-register.html

Et monsieur labyrinthe avec son captcha.
J'aurais bien voulu participer mais j'étais sur un projet.
Merci K-jasi.
Le code source serait très bien aussi...

Citation : tnsaad

Pas tout à la fois.
Déjà réglons le problème de tout les captchas du post.
donc il faut que avant que l'on fait session_destroy je fasse unset($image) et unset($code)
C'est ça??

session_destroy(); ne détruit pas les variables sessions. Pour ca, il y avait session_unset(), mais la fonction est obsolète désormais. Plutôt que de faire un foreach, je fait $_SESSION = array(); ... Ca marche, docteur ?

mais il n'y a pas moyen de supprimer juste la variable qui nous intéresse? car sinon on supprimer toutes les autres variable de sessions! un unset($_SESSION['code']) ne suffit pas? ou bien un $_SESSION['code']=NULL;

Blackhole ==> Ui, $_SESSION = array()(comme $_POST = array() après le traitement d'un formulaire) devrait marcher

Moi je voudrais bien savoir comment il marche son code, tant qu'on a pas vu le code on peut pas connaitre la solution

J'avoue ne pas comprendre comment cela fonctionne, j'suis un adepte du brute force sur des securités non changeante mais alors les captacha, j'avoue ne pas savoir comment il est possible de faire (à part en annalysant les caracteres je veux dire)

moi non plus, je ne comprend pas trop, si jamais on ne peut passé l'id de session via l'url ton robot ne peut rien faire.

Bon pour éviter ton bot, il suffit que l'on script (avec md5 par exemple) la session contenant le code généré par le catcha et même s'il intercepte ce code il ne peut plus rien faire. Non?

je pense que le principe est + simple que ca :

quand on affiche le captcha (a l'affichage du formulaire), un code aléatoire est généré et stocké en session.

quand on valide le formulaire, le code saisi est comparé à celui stocké en session.

tant qu'on affiche pas de nouveau le formulaire, c'est toujours le même code qui reste stocké en session...

bref il suffit d'afficher une fois le formulaire, de noter le code affiché par le captcha, puis de s'arranger pour valider autant de fois qu'on veut le formulaire sans réafficher celui-ci pour flooder le site.

donc en effet la parade est simple, à la validation du formulaire, apres avoir comparé le code saisi, il suffit d'effacer le code stocké en session pour forcer le visiteur à repasser par la case "affichage du formulaire avec génération d'un nouveau code aléatoire".