Discussion autour des CAPTCHAs

lun 14 juillet 2008

Suite à ma précédente intervention ici-même au sujet des systèmes de vérification d’humain, il serait bien de clarifier quelques points. Il est surtout question ici des images dites CAPTCHA.

Dois-je en mettre en place?

Partout il est dit qu’il est mieux de mettre en place un CAPTCHA que de ne rien faire. C’est sans doute vrai dans l’absolu. Or, on a vu que ces systèmes ne valent rien contre le crime organisé; lorsque on demande à la chaîne à une personne de prêter son humanité à un script ou un programme. Toutefois, si on ne fait pas partie des cibles du crime organisé, on peut admettre que cette vérification a de la valeur sous certaines conditions:

  • Il faut faire très attention avec les scripts « tout fait » qui sont disponibles gratuitement (ou pas). En effet, ce n’est pas parce qu’un bout de script est populaire qu’il est sans faille; j’ai déjà parlé ici de l’implémentation à l’aide de cookie pour stocker le hash md5 du contenant du code à taper… La communauté contient des gens doués comme des imprudents. L’utilisateur (ou l’administrateur) est toujours le seul responsable à l’usage. Il parait donc sage de vérifier ou de faire vérifier un bout de code que l’on veut utiliser, sans toutefois tomber dans la paranoïa, certains projets donnant plus confiance que d’autres de ce point de vue.

  • Il faut faire attention aux scripts (très) populaires. Ces derniers ont l’inconvénient d’être populaire et donc d’être une cible plus intéressante et rentable (exemple: phpBB). Voir aussi le commentaire sur la mise à jour qui s’applique particulièrement aux scripts populaires.

  • On peut développer son système soi-même, on se met ainsi à l’abri du phénomène de masse, mais il faut en être capable et ne pas commettre d’erreur grossière.

Quelque soit la solution choisie, cette dernière doit être mise à jour. Contrairement à une distribution d’OS qui « propose » les patchs de sécurité, on a souvent téléchargé le bout de code sur un site et il faut régulièrement le consulter pour voir s’il y a une mise à jour.

Category: sécurité Tagged: informatique sécurité web

comments


Page 1 of 1