Journal Cloudflare abandonne le reCAPTCHA de Google

Posté par  . Licence CC By‑SA.
31
14
avr.
2020

Hop, on balance un lien : https://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/

Cloudflare utilise une solution de CAPTCHA pour filtrer les utilisateurs. Jusque-là, ils utilisaient le fameux service de Google, mais Google a décidé de faire « évoluer » son modèle commercial, et ça risque de coûter trop cher à Cloudflare, qui ne leur jette d'ailleurs pas trop la pierre.

Mais les raisons du choix du remplaçant sont assez intéressantes :

We liked a number of things about the hCaptcha solutions:
1) they don't sell personal data; they collect only minimum necessary personal data, they are transparent in describing the info they collect and how they use and/or disclose it, and they agreed to only use such data to provide the hCaptcha service to Cloudflare;
2) performance (both in speed and solve rates) was as good as or better than expected during our A/B testing;
3) it has a robust solution for visually impaired and other users with accessibility challenges;
4) it supported Privacy Pass to reduce the frequency of CAPTCHAs;
5) it worked in regions where Google was blocked; and
6) the hCaptcha team was nimble and responsive in a way that was refreshing.

Ça ressemble à une critique déguisée quand même. Évidemment, une entreprise avec un produit en situation de monopole finit forcément par se reposer sur ses lauriers.

Cloudflare a quand même dû travailler avec hCaptcha pour que ça rentre dans leur besoin. Après tout, ils sont aussi très gros et avec des besoins… uniques.

  • # Merci pour l'info

    Posté par  . Évalué à 9.

    Merci pour l'info. C'est bien d'avoir un bon système de captcha en alternative à Google.

    6) the hCaptcha team was nimble and responsive in a way that was refreshing.

    Cloudflare, c'est un client comme un autre pour Google. Par contre, chez hcaptcha, quand ils ont vu débarquer Cloudflare, ils ont dû mettre leur meilleurs éléments sur le support (on peut aussi supposé que chez Cloudflare, ils n'ouvrent pas des tickets débiles, donc ils peuvent se permettre de passer le niveau 1).

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

  • # Expérience utilisateur

    Posté par  . Évalué à 10.

    Franchement, une des principales raisons de ne pas utiliser reCAPTCHA, c'est l'expérience utilisateur. C'est tellement de la daube que j'ai littéralement arrêté de d'acheter des trucs sur Humble Bundle, même quand c'est moins cher que la concurrence. C'est totalement insupportable ce machin et j'ai du mal à comprendre comment on peut vouloir infliger ça à ses propres clients, surtout sur des sites marchands.

    • [^] # Re: Expérience utilisateur

      Posté par  . Évalué à 10.

      J'avoue que c'est assez insupportable. Dès fois, le système peut te demander de classifier une bonne dizaine de captcha, c'est juste pénible.

      Surtout que tu as un peu l'impression d'être une bonne poire qui, une fois que le système a validé que tu n'étais pas un bot, te fait classifier en douce des images pour l'apprentissage du robot voiture.

      • [^] # Re: Expérience utilisateur

        Posté par  (site web personnel) . Évalué à 10.

        Surtout que tu as un peu l'impression d'être une bonne poire qui, une fois que le système a validé que tu n'étais pas un bot, te fait classifier en douce des images pour l'apprentissage du robot voiture.

        Ce n'est pas une impression, c'est la réalité, c'est le moyen de financer la fonctionnalité que toi tu n'es pas prêt à payer.
        C'est expliqué dans le lien.

        "[…] charge customers that needed image classification data and pay publishers to install their CAPTCHA on their sites."

        Perso, j'ai apprécié dans le texte de Cloudflare le fait qu'ils préfèrent payer plutôt que d'être payé pour fournir des utilisateurs, du fait de leur volume et de leur business c'était mieux pour eux. C'est rare que des gens disent qu'ils préfèrent payer pour customiser et soutenir le fournisseur à long terme que de prendre le gratuit et laisser le fournisseur trouver assez de rentrée d'argent ailleurs.

        "This ensured they had the resources to scale their service to meet our needs. While that has imposed some additional costs, those costs were a fraction of what reCAPTCHA would have. And, in exchange, we have a much more flexible CAPTCHA platform and a much more responsive team."

        • [^] # Re: Expérience utilisateur

          Posté par  . Évalué à 4. Dernière modification le 16 avril 2020 à 16:10.

          C'est rare que des gens disent qu'ils préfèrent payer pour customiser et soutenir le fournisseur à long terme que de prendre le gratuit et laisser le fournisseur trouver assez de rentrée d'argent ailleurs.

          Donc en gros, ils profitaient à donf de la gratuité du service en faisant les pingres (hCaptcha existait avant hein) et maintenant qu'ils vont devoir cracher au bassinet, ils se tournent vers le plus offrant, mais selon toi ce sont presque des bienfaiteur

          J'aime beaucoup ta façon de voir les choses :D

      • [^] # Re: Expérience utilisateur

        Posté par  . Évalué à 2.

        Non seulement ce n'est pas "en douce" mais en plus je trouve ça très utile…
        J'ai déjà eu à utiliser leur API de classification d'image pour un client et elle fonctionne très bien. Idem pour les voitures autonomes, un modèle entraîné par de vrais yeux en échange d'un petit service bien pratique. Bref les captchas c'est parfois chiant mais l'utilité est bien là.

        • [^] # Re: Expérience utilisateur

          Posté par  . Évalué à 10.

          Non seulement ce n'est pas "en douce" mais en plus je trouve ça très utile…

          Oui, mais non : ce n'est pas moi le client de Google, ni moi le bénéficiaire du service reCaptcha et pourtant c'est moi qui fait le boulot. C'est juste de l'exploitation.
          Si encore Google avait une communication transparente et, au lieu de te faire croire que tu te trompes t'affichait clairement "Ok, vous n'êtes pas un robot, mais continuez encore un peu ça m'aidera pour la reconnaissance d'image". Là je pourrais à la rigueur penser que je ne me fais pas avoir. Mais tel que c'est foutu actuellement, pour moi c'est juste insupportable et inexcusable.

          • [^] # Re: Expérience utilisateur

            Posté par  . Évalué à -3.

            ni moi le bénéficiaire du service reCaptcha

            Ben si tu es un des bénéficiaires. En utilisant le reCapatcha tu bénéficies d'un service non pollué par des spammeurs.

            • [^] # Re: Expérience utilisateur

              Posté par  . Évalué à 9.

              Ben si il est pollué, c'est juste que le pollueur est choisi par l'éditeur. Et c'est le visiteur qui doit faire le boulot de nettoyage.

          • [^] # Re: Expérience utilisateur

            Posté par  . Évalué à 2.

            Je suis d'accord sur un point : ça devrait être écrit clairement, dès que tu utilises ce truc, qu'ils vont utiliser tes réponses pour entraîner leurs modèles.

            Maintenant j'ai conscience que j'ai une vision bisounours mais pour moi on pourrait tous bénéficier des services qu'ils vont en tirer. C'est une entreprise, ce n'est pas libre (et encore, TensorFlow l'est par ex.), mais leurs API de classification sont performantes & accessibles et si ça peut aider à la démocratisation des voitures sans chauffeur je suis pour.
            On dirait un message d'un fan Google, ce que je ne suis pas, loin de là ! J'interdis à leurs domaines d'enregistrer des cookies sur mon navigateur de tous les jours (j'ai un profil dédié si je dois accéder à des trucs Google) mais par contre j'aime ce qu'ils font dans ce domaine. Donc… merci à ceux qui entraînent les modèles ;-)

            • [^] # Re: Expérience utilisateur

              Posté par  (site web personnel) . Évalué à 3.

              si ça peut aider à la démocratisation des voitures sans chauffeur je suis pour.

              Je serais plus circonspect, surtout vu la performance de leur API sorti des sentiers battus. Et pourtant j'aime pas trop les automobilistes.

            • [^] # Re: Expérience utilisateur

              Posté par  . Évalué à -1.

              si ça peut aider à la démocratisation des voitures sans chauffeur je suis pour.

              Mouais, non merci, les voitures sans chauffeur sont juste un gadget, et c’est pas ça qui nous permettra de sortir de la crise écologique (ça nous ferait même nous y enfoncer encore plus).

          • [^] # Re: Expérience utilisateur

            Posté par  (site web personnel) . Évalué à 10.

            Le bénéficiaire, c'est le conducteur de la voiture, en temps réel :

            https://xkcd.com/1897/

            • [^] # Re: Expérience utilisateur

              Posté par  (site web personnel) . Évalué à 3.

              Parfois je fais exprès de ne pas répondre trop vite pour éviter d'avoir 10 Captchas à résoudre. Désolé, je ne savais pas…

              Un LUG en Lorraine : https://enunclic-cappel.fr

              • [^] # Re: Expérience utilisateur

                Posté par  . Évalué à -1.

                Perso, quand, j'ai du temps a perdre, je fais exprés de répondre à côte de la plaque pour que les robots apprennent avec des faux. (après, si je suis le seul dans mon coin à le faire, je suis pas sur que ce soit vraiment efficace).
                Et j'aime pas les véhicules autonome, car j'aime bien conduire, et inquiet de savoir ce qui se passerais (côte assurance, et cie) si un véhicule autonome me cartonne.

                • [^] # Re: Expérience utilisateur

                  Posté par  . Évalué à 3.

                  Et j'aime pas les véhicules autonome, car j'aime bien conduire, et inquiet de savoir ce qui se passerais (côte assurance, et cie) si un véhicule autonome me cartonne.

                  Si tu conduis bien c'est l'autonome qui va prendre; tout simplement parce qu'avec la tétrachiée de capteur, d'enregistreur et tout le toutim, la reconstitution de l'accident est nettement plus fiable qu'avec un conducteur (ou conductrice). Par ailleurs la machine ne cherchera pas à falsifier sa perception ou mentir pour se décharger de la faute.

                  Par ailleurs, les véhicules pas vraiment autonomes ont, pour le moment moins d'accidents par kilomètre que leur équivalent humain; cependant, il faut prendre ces statistiques avec des pincettes, le type de route, conducteur et voitures sont radicalement différents de tout un chacun.

                  Par contre bonjour l'égoïsme; je n'aime pas conduire, je conduis le moins souvent possible, et en retardant l'arrivée de véhicule autonome sur le marché tu m'impose de devoir conduire plus longtemps. Étant donné les points pré-cités, je suis plus dangereux sur la route qu'un véhicule autonome, je suis humain et j'admets difficilement mes erreurs enfin généralement c'est toujours les autres qui sont fautif. Bref tu augmentes tes risques, et ceux des autres.

                  Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                  • [^] # Re: Expérience utilisateur

                    Posté par  . Évalué à 2.

                    Si tu conduis bien c'est l'autonome qui va prendre; tout simplement parce qu'avec la tétrachiée de capteur, d'enregistreur et tout le toutim, la reconstitution de l'accident est nettement plus fiable qu'avec un conducteur (ou conductrice). Par ailleurs la machine ne cherchera pas à falsifier sa perception ou mentir pour se décharger de la faute.

                    De mon point de vue, je vois surtout, que les entreprises (ou leurs assurances) qui ont participé à l’élaboration du véhicule autonome, vont se rejeter la faute sans vergognes, pour savoir qui va payer, bon tu vas me dire tant que je suis remboursé, à la limite je m'en moque, mais du coup, si c'est le logiciel embarqué qui à merdoyer, est-ce toi, le constructeur de la voiture, ou la société de dev du logiciel, qui vas payer?
                    Et ceux qui auront une voiture autonome, seront-ils toujours soumit à une assurance? mais, si c'est pas eu qui manipule le comportement de celle-ci, à quoi sert-elle, hormis pour dégradation (en autre, pour simplifier)?

                    Par contre bonjour l'égoïsme; je n'aime pas conduire, je conduis le moins souvent possible, et en retardant l'arrivée de véhicule autonome sur le marché tu m'impose de devoir conduire plus longtemps

                    Égoïste, moi? Alors que j'indique simplement que j'aime pas les voitures autonomes. Je n'ai pas dit que je voulais qu'on retarde la mise en circulation.

                    Étant donné les points pré-cités, je suis plus dangereux sur la route qu'un véhicule autonome, je suis humain et j'admets difficilement mes erreurs enfin généralement c'est toujours les autres qui sont fautif. Bref tu augmentes tes risques, et ceux des autres.

                    Par contre, là, oui, on est d'accord certain usager de la routes devrait rester en transport en commun, ou avoir des véhicules autonome, il y aurai moins de morts sur les routes.

                    • [^] # Re: Expérience utilisateur

                      Posté par  . Évalué à 3.

                      Je n'ai pas dit que je voulais qu'on retarde la mise en circulation.

                      Effectivement tu ne le dis pas : tu le fais ! (même si ça n'a probablement qu'un impact infinitésimal, peut-être même que ça leur permet d'améliorer la détections des personnes à problèmes)

                    • [^] # Re: Expérience utilisateur

                      Posté par  . Évalué à 4.

                      De mon point de vue, je vois surtout, que les entreprises (ou leurs assurances) qui ont participé à l’élaboration du véhicule autonome, vont se rejeter la faute sans vergognes, pour savoir qui va payer, bon tu vas me dire tant que je suis remboursé, à la limite je m'en moque, mais du coup, si c'est le logiciel embarqué qui à merdoyer, est-ce toi, le constructeur de la voiture, ou la société de dev du logiciel, qui vas payer?
                      Et ceux qui auront une voiture autonome, seront-ils toujours soumit à une assurance? mais, si c'est pas eu qui manipule le comportement de celle-ci, à quoi sert-elle, hormis pour dégradation (en autre, pour simplifier)?

                      Ça n'est pas vraiment un problème systémique. Il y a eu des problèmes similaires à la démocratisation de la voiture, par exemple. Si tu dis qu'il faut qu'il y ai un cadre juridique, ça n'est pas une nouvelle et personne ne dit le contraire.

                      https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

                    • [^] # Re: Expérience utilisateur

                      Posté par  (site web personnel) . Évalué à 4.

                      Par contre, là, oui, on est d'accord certain usager de la routes devrait rester en transport en commun, ou avoir des véhicules autonome, il y aurai moins de morts sur les routes.

                      Et étonnamment (ou pas), ce ne sont certainement pas ceux qui, comme fearan, avouent leur inconfort, qui devraient rester en transport en commun, ou avoir des véhicules autonome pour augmenter la sécurité routière.

      • [^] # Re: Expérience utilisateur

        Posté par  . Évalué à 1. Dernière modification le 20 avril 2020 à 14:44.

        J'ai connu ça aussi, essayes avec un navigateur sans protections (cookies, scripts, referer, etc) c'est flagrant recaptcha ne demande même pas une image

    • [^] # Re: Expérience utilisateur

      Posté par  (site web personnel) . Évalué à 4.

      C'est totalement insupportable ce machin et j'ai du mal à comprendre comment on peut vouloir infliger ça à ses propres clients, surtout sur des sites marchands.

      Puisque tu ne comprends pas, c'est que tu sais comment faire autrement pour résoudre le problème, je t'écoute!

      Sinon, on (moi compris) a le choix entre ce truc pas agréable (clairement, en sachant que ça arrive pas à tout le monde le truc chiant, la plupart du temps c'est transparent) et des acheteurs avec leurs moyens de paiement, ou pas d'acheteurs du tout faute de moyens de paiement.
      Ben oui, sans ça les gestionnaires de CB jettent les gens car trop d'essais de numéros de CB volés. Pour un exemple, mon pauvre petit site à moi avait des centaines d'achats avec numéros de CB volés, et on ma signifié que soit je mettais un truc pour m'en protéger (que ça n'aille pas chez eux en automatisé) soit on me virait.

      Bref, avant d'avoir du mal à comprendre, essaye un minimum de te mettre à la place des gens que tu critiques en ayant "du mal à comprendre". C'est très lourd les gens qui balancent des "infliger" etc sans chercher à comprendre le problème qui a fait que c'est utilisé et sans pouvoir proposer d'alternative pour le résoudre.

      Pour le moment, on n'a pas trouvé moins chiant (Cloudflare change de fournisseur mais pas de technique), et tous les gens que tu critiques sont prêts à prendre autre chose de mieux dès que tu peux le proposer (note : il faut que ça résout le problème, sinon ce n'est pas une proposition réelle).

      PS : pour Humble Bundle, je n'ai pas eu de captcha (ce n'est pas tout le temps…), tu es considéré plus à risque que moi :).

      • [^] # Re: Expérience utilisateur

        Posté par  . Évalué à 10.

        Bref, avant d'avoir du mal à comprendre, essaye un minimum de te mettre à la place des gens que tu critiques en ayant "du mal à comprendre".

        Il avait du mal à comprendre, toi tu avais la réponse, c'est gentil de lui avoir expliqué… Si ça avait pu être fait avec gentillesse, pédagogie et patience, ça aurait été mieux :)

        • [^] # Re: Expérience utilisateur

          Posté par  . Évalué à -1.

          Il aurait pu poser sa question avec gentillesse également s'il voulait une réponse dans le même ton. Là, il prend les gens pour les débiles et a une réponse dans le même ton.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

        • [^] # Re: Expérience utilisateur

          Posté par  (site web personnel) . Évalué à -6. Dernière modification le 14 avril 2020 à 17:16.

          Si ça avait pu être fait avec gentillesse, pédagogie et patience, ça aurait été mieux :)

          Il n'y avait pas de question.
          Ma réponse pas gentille est due à l'attaque gratuite contre les développeurs sans chercher à essayer de comprendre ou (se) demander pourquoi les développeurs ont fait ce choix.

          Quitte à me répéter, l'auteur du commentaire a un avis, donc il a réfléchi (sinon il n'aurait pas d'avis) et peut me renvoyer dans mes cordes encore plus "violemment" que je ne l'ai fait en me répondant avec des explications de comment faire mieux… Enfin, normalement on a réfléchi avant d'avoir un avis. Bref, le niveau de gentillesse est au niveau de gentillesse de l'auteur du commentaire : si les gens commençaient par réfléchir avant d'avoir un avis, ou poser une question? Et avec un avis, on peut aussi ne pas utiliser des mots aussi forts contre un choix d'un autre.

          Personnellement, j'ai pris son commentaire comme une attaque gratuite contre moi (qui l'utilise aussi donc je suis visé indirectement) sans aucune gentillesse, aucune pédagogie, aucune patience, et j'en passe genre insulte à ma capacité de réfléchir pour choisir un tel truc. La note de son commentaire est une attaque encore plus grande car le troupeau adore attaquer comme ça, je sais. Oui, son commentaire est discrètement insultant sans être constructif le moins du monde, et c'est lourd ces insultes gratuites.

          Comme quoi, le sentiment d’agression peut être relatif…

          Le commentaire aurait pu être :
          "reCAPTCHA est quelque chose quand même d'assez chiant, qui ne me donne pas envie de continuer sur le site, l'expérience utilisateur en est pas mal amoindrie. Pourquoi donc les développeurs l'utilisent-ils et n'y aurait-il pas une alternative plus agréable pour l’utilisateur?"
          Et ne me sentant pas attaqué dans ma supposée incapacité à réfléchir pour un choix que j'ai fait j'aurai donné gentiment la réponse. Oui je pourrai aussi m'améliorer et accepter d'être gentil quand on m'insulte ou éviter de répondre par un coup réflexe automatique quand on m'agresse physiquement, j'ai encore du mal avec cette notion de gentillesse devant les agressions.

          PS : bon peut-être un peu sensible aussi aujourd'hui avec quelques autres insultes gratuites et non constructives ("logiciel de merde", "ne donne pas l'information que je cherche mais je ne me demande pas si l'information est en réalité possible à trouver" etc) que j'ai reçu aujourd'hui dans des commentaires sur mes logiciels du fait d'un troupeau de nouveaux utilisateurs sortis de je ne sais où mais qui ne sont pas dans les plus fins.

          • [^] # Re: Expérience utilisateur

            Posté par  . Évalué à 10.

            Personnellement, j'ai pris son commentaire comme une attaque gratuite contre moi (qui l'utilise aussi donc je suis visé indirectement)

            Je peux comprendre

            sans aucune gentillesse, aucune pédagogie, aucune patience, et j'en passe

            Bichette ! Toi qui est pourtant toujours gentil, toujours pédagogue, toujours patient avec les autres…

            genre insulte à ma capacité de réfléchir pour choisir un tel truc

            Ah ? Où ça ?

            La note de son commentaire est une attaque encore plus grande car le troupeau adore attaquer comme ça, je sais

            Bichette, maintenant tu es la cible de harcelement par une foule entière ! Ou alors, c'est juste que la majorité des gens trouvent eux aussi que l'experience utilisateur est horrible, et que le coté "je comprends pas comment on peut vouloir infliger ça à ses utilisateurs" c'est juste anecdotique dans le message original.

            Oui, son commentaire est discrètement insultant

            En quoi ?

            sans être constructif le moins du monde,

            On peut dire "ce truc m'emmerde tous les jours" sans avoir d'alternative à proposer. C'est pas insultant, c'est pas méchant, et c'est utile : ca permet de savoir ce qui déplait au niveau de l'interface utilisateur. Si tu trouves que les seules critiques utiles sont les critiques positives, c'est vraiment dommage.

            "ne donne pas l'information que je cherche mais je ne me demande pas si l'information est en réalité possible à trouver"

            Là aussi, en quoi est-ce insultant ? C'est désagréable, je le comprends. Insultant, je vois pas en quoi. Le gars dit "j'ai pas cette fonctionnalité dont j'aurais besoin", il dit pas que c'est facile à faire ni que t'es nul de ne pas l'avoir fait.

            Bref, encore une fois, si Zenitram est désagréable avec les autres, c'est la faute des autres…

      • [^] # Re: Expérience utilisateur

        Posté par  . Évalué à 6.

        Ben oui, sans ça les gestionnaires de CB jettent les gens car trop d'essais de numéros de CB volés. Pour un exemple, mon pauvre petit site à moi avait des centaines d'achats avec numéros de CB volés, et on ma signifié que soit je mettais un truc pour m'en protéger (que ça n'aille pas chez eux en automatisé) soit on me virait.

        Ya pas le 3D secure pour ca ?

        • [^] # Re: Expérience utilisateur

          Posté par  . Évalué à 1. Dernière modification le 14 avril 2020 à 18:12.

          Il est courant d'éviter 3D Secure parce que ça cause des baisses significatives de chiffre d'affaire, comme tout ce qui complexifie un paiement sur un site e-commerce. Un bon indicateur est que 3D Secure est absent de Steam et Amazon.

          Sinon, d'un point de vue du marchand, c'est de mémoire une histoire d'assurance. Si t'as pas 3D Secure sur ton site, quand un achat est frauduleux, c'est de la perte sèche. Sinon, c'est l'organisme qui gère le paiement qui paiera avec son assurance.

          • [^] # Re: Expérience utilisateur

            Posté par  . Évalué à 10. Dernière modification le 14 avril 2020 à 19:48.

            Ma copine et moi gérons tous les deux des sites marchands. J'en ai aussi construit pas mal pour d'autres (depuis 25 ans — eh oui). Mon expérience est tout à fait différente, s'agissant des petits commerçants :
            En France 3D Secure est bien accepté. Il est parfois rendu obligatoire par la banque du client ou par le fournisseur de paiement. Quand aux achats frauduleux, on les détecte presque tous avant l'expédition, et pour les autres les banques s'en fichent : elles nous remboursent, même sans 3D Secure. On peut en déduire que le taux de fraude reste faible.

            Amazon est son propre fournisseur de paiement. C'est aussi un des plus gros gestionnaire de transaction et peut-être celui qui gère la plus grande diversité géographique. Ils ont d'excellent moyens de détection de fraude en amont (et toute la puissance informatique nécessaire). Et puis leur interface de paiement est sensiblement la même pour tous. Ceci, cela, explique mieux à mon sens pourquoi 3D Secure n'est pas utilisé.

            "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

            • [^] # Re: Expérience utilisateur

              Posté par  . Évalué à 5. Dernière modification le 14 avril 2020 à 20:45.

              Merci beaucoup pour ces infos additionnelles, c'est très éclairant sur comment ça se passe en vrai.

              On peut en déduire que le taux de fraude reste faible.

              Je n'ai pas de mal à croire pour des achats physiques, avec une adresse de livraison, que ça soit faible. Par contre dans le monde du dématérialisé, et particulièrement des clés Steam de jeu, ça ne doit pas être la même chose. C'est tout un système de blanchiment d'utiliser une carte volée pour acheter une clé de jeu, pour ensuite la revendre sur un site peu regardant sur la provenance.

              • [^] # Re: Expérience utilisateur

                Posté par  . Évalué à 4.

                Les grosses boites ont tout un département fraude pour gèrer la détection de ce genre de choses.

                Alors évidemment certains passent entre les gouttes hein, mais à leur échelle c'est faible.

                3DSecure en gros c'est de l'outsourcing du département fraude.

                • [^] # Re: Expérience utilisateur

                  Posté par  . Évalué à 4.

                  Les grosses boites ont tout un département fraude pour gèrer la détection de ce genre de choses.

                  Absolument. C'est particulièrement visible sur les grosses places de marché (j'y vend aussi) : la fraude arrive rarement jusqu'au vendeur.

                  Par exemple, pour vous faire une idée : Amazon suit de très près les « mauvais clients ». S'il y a des abus, et il en faut peu, l'acheteur est interdit à vie. C'est relativement facile à faire, puisqu'Amazon en tant qu'intermédiaire et fournisseur de paiement dispose d'un tas d'informations sur l'acheteur.

                  "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

                  • [^] # Re: Expérience utilisateur

                    Posté par  . Évalué à 3.

                    Quelqu'un sait si Amazon envisage de vendre cette compétence ?
                    D'un côté ça pourrait leur rapporter beaucoup. De l'autre ça pourrait améliorer leurs concurrents.

                    • [^] # Re: Expérience utilisateur

                      Posté par  . Évalué à 3.

                      Aucune info interne mais connaissant Amazon et le fait qu'ils ont une forte habitude d'externaliser tout ce qu'ils font en interne cela ne me surprendrait pas.

                      Ensuite, pour se faire, il faut un tas d'infos sur les ventes, acheteur, vendeur, … que le système d'Amazon devrait recevoir de la part du vendeur, et là il y a un coté compétition qui peut poser problème vu que les clients potentiels de ce système sont probablement en compétition avec Amazon sur certains marchés et n'auraient logiquement pas envie de lui filer toutes ces infos.

                      • [^] # Re: Expérience utilisateur

                        Posté par  . Évalué à 5.

                        Du coup c'est facile, il suffit qu'ils vendent à des entreprises qui ne sont pas en concurrence.
                        Par exemple des vendeurs de gadgets, de quincaillerie, de vêtements, d'articles de sports, de nourriture, oui bon ça doit bien exister non ?!

            • [^] # Re: Expérience utilisateur

              Posté par  (Mastodon) . Évalué à 4.

              pour amazon ils veulent surtout facilité l'achat en 1 clic.

              Leur paris, qui semble gagnant, c'est que tu gagnes plus à faciliter les achats compulsifs qu'à lutter en amont contre la fraude et faire le travail des banques.

              Et ils peuvent se le permettre car aucune banque n'a de levier assez fort pour pouvoir dire à Amazon d'aller se faire voir, ce sont eux qui perdraient leur clients.

              • [^] # Re: Expérience utilisateur

                Posté par  . Évalué à 6.

                Alors, à mon avis, Amazon a une détection à la fraude même avec l'achat en 1 clic. Donc, ils ne doivent pas avoir tant que pertes que ça.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                • [^] # Re: Expérience utilisateur

                  Posté par  (Mastodon) . Évalué à -1.

                  Alors, à mon avis, Amazon a une détection à la fraude même avec l'achat en 1 clic. Donc, ils ne doivent pas avoir tant que pertes que ça.

                  Pas besoin. Ils ont zero pertes. Si la carte est volée, c'est la banque qui perd de l'argent, pas Amazon.

                  Du coup à mon avis ils n'en ont juste rien à carrer.

                  • [^] # Re: Expérience utilisateur

                    Posté par  . Évalué à 6.

                    J'ai un doute qu'ils soient plus puissant qu'AMV sur ce point. Tu as un lien ?

                    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: Expérience utilisateur

                    Posté par  . Évalué à 0.

                    S'il n'y a pas de vérification du PIN, normalement la fraude, c'est le vendeur qui l'assume. Après Amazon a peut-être les moyens de négocier ce point, mais ça m'étonnerait, c'est un peu la base de la gestion des risques des banques sur la VAD.

                    • [^] # Re: Expérience utilisateur

                      Posté par  . Évalué à 4.

                      Pour les ventes à distance, c'est le 3D Secure (en France du moins) qui fait office de code PIN.
                      Amazon ne veut pas payer pour 3D Secure, donc gère à 100 % les fraudes.

                      Bon après ils ont peut-être un accord avec une banque. Mais dans le principe le vépéciste qui refuse de payer la banque pour vérifier (3D Secure) s'occupe des défauts.

                  • [^] # Re: Expérience utilisateur

                    Posté par  . Évalué à 1.

                    Ils ont un gros departement fraude.

        • [^] # Re: Expérience utilisateur

          Posté par  (site web personnel) . Évalué à 2. Dernière modification le 14 avril 2020 à 18:19.

          Ya pas le 3D secure pour ca ?

          3D Secure, tu fais déjà chier le proprio avec une demande de validation (SMS, app…), tu vas pas avoir envie de lui envoyer 10 SMS par seconde.
          Perso je ne demande pas 3D Secure car c'est encore plus chiant pour l'utilisateur et je n'ai rien à "vendre" qui me coûte si je rembourse (majoritairement du don, et donc je rembourse et voila, faut juste que j'ai pas trop de remboursement sinon ils me facturent).

          De plus le gestionnaire de la transaction sait déjà que la CB est volée (ils y en a qui essayent en "manuel", je vois la transaction rejetée pour cause de carte bloquée), ce n'est pas la le soucis dans 99.999% des cas.
          Le soucis est de bombarder inutilement le gestionnaire de la transaction avec des centaines de transactions par jour (pour un petit site comme le mien peu intéressant) qui noient les appels légitimes dans la masse.

          Et en fait, je n'ai pas le choix : c'est je mets ça en place où je n'ai plus mon gestionnaire. Il reste Paypal certes (qui gère ça autrement, il faut un compte) mais parait que c'est pas bien de n'offrir que Paypal… Quoique tu fasses, tu auras toujours des gens pour se plaindre :).

          Perso, j'offre Paypal (pas de captcha) ou Stripe (avec captcha) et les gens ont le choix entre les 2 solutions techniques, chacune ayant un avantage et un inconvénient.

          • [^] # Re: Expérience utilisateur

            Posté par  . Évalué à 10.

            Certes le SMS est pénible, mais ça reste sans commune mesure avec reCaptcha. Hier j'ai eu le droit à plus de 20 challenges a devoir reconnaître des motos, des deux, des lignes de stop et autres joyeusetés. Au bout d'un moment, je suis juste allé sur un site concurrent.

            • [^] # Re: Expérience utilisateur

              Posté par  (site web personnel) . Évalué à -4.

              T'as pas un problème de lunettes ? Les seules fois où j'enchaine les prédictions à faire c'est quand je foire exprès en me disant que je sabote leurs bagnoles mouahahaha

              • [^] # Re: Expérience utilisateur

                Posté par  . Évalué à 6.

                Non ça arrive lorsque l'on bloque les cookies ou qu'on limite les scripts via des outils du genre uMatrix; j'ai pas encore identifié si c'était un bug où une punition; Si jamais tu utilises tor, ça a tendance aussi à multiplier les tests.

                Il ne faut pas décorner les boeufs avant d'avoir semé le vent

                • [^] # Re: Expérience utilisateur

                  Posté par  . Évalué à 4.

                  Globalement, si tu désactive du JS, les cookies et des sites externes, Google a moins de données sur toi, donc il peut plus difficilement te classer comme humain et va te donner plus de captcha être sûr que tu n'es pas un bot (ou pour diminuer la rentabilité des employés payés à résoudre les captcha).

                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                  • [^] # Re: Expérience utilisateur

                    Posté par  (site web personnel) . Évalué à 1.

                    AH oui c'est vrai qu'avec noscript j'en avais 3-4 à faire, mais 20 sérieusement :-D Vous pouvez moinsser autant que vous voulez mais personne ne filerait 20 captchas visuels de suite (à part à un aveugle timide sur sa condition). Limite même en répondant au pif ça devrait passer avant.

          • [^] # Re: Expérience utilisateur

            Posté par  . Évalué à 6.

            3D Secure, tu fais déjà chier le proprio avec une demande de validation (SMS, app…),

            Tu fais chier l’utilisateur avec reCAPTCHA, c’est pas beaucoup mieux.

            Avec Stripe tu peux activer 3D secure seulement dans certaines conditions (par exemple si la CB est française, mais que l’utilisateur se connecte depuis la Russie ou si son code postal est en Autriche).

            tu vas pas avoir envie de lui envoyer 10 SMS par seconde.

            Pas compris, en tant qu’utilisateur, j’ai jamais eu plusieurs SMS pour un même achat.

        • [^] # Re: Expérience utilisateur

          Posté par  . Évalué à 5.

          Le 3d, c'est après le contrôle de la carte.
          Ça veux dire que il y a déjà eu du traitement par les divers acteurs avant. Et ça coûte de l'argent. Donc si c'est interrompu avant, c'est mieux

      • [^] # Re: Expérience utilisateur

        Posté par  . Évalué à 8. Dernière modification le 14 avril 2020 à 18:07.

        Intéressant, en tant que dev.

        Mais en tant que client ça n'est pas mon problème donc je vote avec mon porte-monnaie ; je vais voir ailleurs, là où on ne harcèle pas avec cet outil gênant. Et autant dire que des sites pour avoir des clés Steam qui n'ont pas de captchas moisis, il y en a des tonnes. Donc je persiste totalement, d'un point de vue technique ça se tient, mais d'un point de vue expérience client et c'est à mon sens un très mauvais choix. J'imagine que le souci fondamental est qu'il doit être impossible avec leur stats de visites de distinguer les vrais gens qui stoppent par rage un achat à cause de ces trucs, par rapport à des supposés bots.

        PS : pour Humble Bundle, je n'ai pas eu de captcha (ce n'est pas tout le temps…), tu es considéré plus à risque que moi :).

        J'utilise Firefox et c'est connu que ce navigateur est nettement plus ciblé par reCAPTCHA. J'ai déjà atteint la dizaine de reCAPTCHAs d'affilée une fois. Je crois que c'est le moment où mon avis a basculé définitivement.

        A noter que ne remets pas en question la valeur de CAPTCHAS en général mais leurs implémentations qui sont rédhibitoires, et encore plus pour des sites de e-commerce.

      • [^] # Re: Expérience utilisateur

        Posté par  . Évalué à 8.

        PS : pour Humble Bundle, je n'ai pas eu de captcha (ce n'est pas tout le temps…), tu es considéré plus à risque que moi :).

        Bah, c'est le principe de reCAPTCHA et justement le problème, selon moi : c'est un système global de gestion de réputation où tu n'as absolument aucun contrôle. Alors tu peux dire que la plupart du temps, c'est quelques images à reconnaître, voire c'est plutôt facile, mais il se trouve que certains utilisateurs, sur décision de Google, sont plus ou moins emmerdés ou empêchés de participer au net grâce à ses systèmes. Bien sûr, tu vas dires que c'est légitime pour un paquet de cas, mais il y en a toujours pour lequel ça le sera beaucoup moins, et on ne saura pas dire si c'est volontaire ou non…

        Perso, je me fais prendre tellement pour un bot que je laisse tomber dès que je tombe dessus. Oui, j'ai un setup pas standard, avec du blocage de pub/cookie/JS partout. Est-ce que c'est ça qui me fait viser ? Peut-être, ou peut-être pas et il faudrait que j'enlève mon chapeau en alu. Mais je n'ai pas moyen de savoir.

  • # Mitigé

    Posté par  (site web personnel) . Évalué à 10. Dernière modification le 14 avril 2020 à 12:45.

    C'est incontestablement une bonne nouvelle.
    Cependant j'ai eu un sentiment mitigé quand j'ai lu les justifications la première fois.
    C'est comme avec Google maps : on arrête quand ça devient payant et puis on dit "en plus c'est mieux pour la vie privée, contre la centralisation etc." mais ces points sont juste des cerises sur un gâteau de $ ou d'€, ils semblent rarement décisifs.

    • [^] # Re: Mitigé

      Posté par  (site web personnel) . Évalué à 10.

      D'un point de vue développeur, il y avait sans doute des réticences au fur et à mesure du temps et la vie privée était de plus en plus importante mais pas assez pour déclencher un basculement, et le passage en payant peut déclencher un basculement qui comprend dans les nouveaux critères de sélection une partie vie privée.

      Bref, c'est un tout, on ne peut pas tout changer tous les jours, et quand on bascule on peut avoir plusieurs critères dans le choix du remplacement.

      • [^] # Re: Mitigé

        Posté par  (site web personnel) . Évalué à -10.

        D'un point de vue développeur, ce que je ne comprends pas c'est pourquoi ils n'ont pas créé leur propre captcha.
        Ce n'est quand même pas difficile à développer. En une demi-heure tu as un truc qui tient la route.
        S'ils veulent la rolls des captcha, alors ils mettent un gars dessus pendant deux jours et basta, et ça fait une dépendance en moins.

        • [^] # Re: Mitigé

          Posté par  (site web personnel) . Évalué à 1. Dernière modification le 14 avril 2020 à 15:42.

          L'un des principaux avantages de ces deux systèmes c'est que dans la majorité des cas ils détectent plus ou moins tout seul que tu n'est pas un robot (moyennant collecte de pas mal d'infos sur tes habitudes).

          Pour l'expérience utilisateur (on ne parle pas des gens qui bloquent et contrôle tout, on parle de la majorité des gens) c'est quand même beaucoup plus agréable que de devoir deviner les lettres/chiffres affichées dans une image, se tromper 3 fois de suite et envoyer balader le formulaire parce que "ça pète les b… ce p… de captcha !"

          Cela prend un peu plus que quelques heures à mettre en place.

        • [^] # Re: Mitigé

          Posté par  (Mastodon) . Évalué à 2.

          D'un point de vue développeur, ce que je ne comprends pas c'est pourquoi ils n'ont pas créé leur propre captcha.
          Ce n'est quand même pas difficile à développer. En une demi-heure tu as un truc qui tient la route.
          S'ils veulent la rolls des captcha, alors ils mettent un gars dessus pendant deux jours et basta, et ça fait une dépendance en moins.

          hmmm. Non.

          Et quand bien même ça le serait après tu veux que ton service soit en prod, soit capable de soutenir la charge, etc, etc, etc. C'est de l'infra en plus pour un truc qui n'est pas leur métier et il est très bien possible qu'une solution externe soit moins chère car mutualisée avec d'autres clients.

        • [^] # Re: Mitigé

          Posté par  . Évalué à 10.

          Ce n'est quand même pas difficile à développer. En une demi-heure tu as un truc qui tient la route.

          Je te propose de te lancer. Ils sont près à payer des centaines de milliers de dollar d'après l'article. Si ça te prend une demi-heure, tu n'as plus besoin de travailler après ça. Tu ajoute deux jours de marketing pour leur expliquer que ta solution est mieux et moins cher et c'est bon.

          « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Mitigé

            Posté par  (site web personnel) . Évalué à 8.

            1/2h de boulot pour 2j de marketing ?
            Le ratio me paraît faible au vu des normes sociétales actuelles.
            Peut-être plutôt compter plusieurs semaines de marketing, non ?

        • [^] # Re: Mitigé

          Posté par  (site web personnel) . Évalué à 7. Dernière modification le 14 avril 2020 à 17:20.

          En une demi-heure tu as un truc qui tient la route.

          Je serai toujours impressionné par les gens qui savent faire un truc que personne d'autre ne sait encore faire mais qui ont la grosse flemme de passer une demi-heure sur un truc qui les rendrait millionnaires (ou pour le bien commun pour plus faire "souffrir" les utilisateurs si tu es anti richesse).

          Ou alors c'est que tu crois savoir faire mais qu'en fait tu ne sais pas du tout de quoi tu parles.

          • [^] # Re: Mitigé

            Posté par  (site web personnel) . Évalué à -6.

            Merci de mettre en doute mes compétences, après tout, on ne se connait pas, hein.
            Si le sujet parlait de pêche à la ligne, je ne serais pas intervenu, car la pêche à la ligne, je n'y connais effectivement rien.
            Tu me permettras donc, contre ton avis éclairé, de maintenir qu'un captcha basique, c'est une demi-heure de dev. Un captcha top-moumoute, deux jours max. Je ne compte bien entendu pas le marketing, chacun son métier.

            Maintenant, Cloudflare, ce n'est pas un petit siteweb perso dans un coin, s'il n'ont pas l'infra ou les compétences, c'est bien dommage. Ils ont fait le choix d'externaliser, c'est leur choix, mais par expérience personnelle (que tu peux à nouveau mettre en doute gratuitement), l'externalisation est souvent un mauvais choix fait pour de mauvaises raisons (pour citer la principale : ne pas prendre la responsabilité du truc, se couvrir en cas de problème genre "ce nest pas moi, c'est le prestataire qui a merdé").

            • [^] # Re: Mitigé

              Posté par  (site web personnel) . Évalué à 2.

              Tu me permettras donc, contre ton avis éclairé, de maintenir qu'un captcha basique, c'est une demi-heure de dev. Un captcha top-moumoute, deux jours max. Je ne compte bien entendu pas le marketing, chacun son métier.

              Deal, je veux te payer pour ça.
              Comme tu crois à fond en tés compétences, tu ne verras aucun inconvénient à mettre dans notre contrat une pénalité de disons 1 € par robot non détecté sur un déploiement à grande échelle.

              Es-tu prêt à démontrer tes compétences en risquant quelque chose plutôt que de rester derrière ton clavier à ne rien risquer à dire que tu es compétent dans un domaine qui te rendrait millionnaire si tu disais quelque chose de vrai?

              Si le sujet parlait de pêche à la ligne, je ne serais pas intervenu, car la pêche à la ligne, je n'y connais effectivement rien.

              vu ce que tu montres, je dirais que tu te connais autant en captcha qu'en pèche à la ligne (d'après tes dires sur tes compétences en pèche à la ligne).
              Je mets en doute tes compétences sans te connaître car je connais la difficulté du sujet à défaut d'avoir les compétences pour développer la chose et que je sais reconnaître des gens qui se la pète (en réalité c'est facile : ils ne s’engagent à rien, ils ne démontrent rien, ils disent juste "j'ai les compétences" sans aucun début démonstration)

              Maintenant, Cloudflare, ce n'est pas un petit siteweb perso dans un coin, s'il n'ont pas l'infra ou les compétences, c'est bien dommage.

              Je suis impressionné par ta capacité à te croire meilleur que les employés de Clouflare reconnus dans le domaine informatique. J'avoue ne pas savoir comment tu fais.
              (on va encore me dire que je suis agressif, mais devant tant de bêtise et de foutage de gueule…)

              • [^] # Re: Mitigé

                Posté par  . Évalué à 5.

                (on va encore me dire que je suis agressif, mais devant tant de bêtise et de foutage de gueule…)

                Il a tout fait raison de faire remarquer qu'on ne le connait pas. Pourquoi vouloir à tout prix le contredire ? et ça ne méritait pas une réponse agressive.

                "La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay

                • [^] # Re: Mitigé

                  Posté par  . Évalué à 10.

                  Pourquoi vouloir à tout prix le contredire ?

                  Je vois surtout des gens avec des arguments, mais pas lui :
                  - l'humanité n'a pas réussi à faire le centième de ce qu'il prétend dans un domaine relativement éprouvé ; donc ce qu'il prétend nécessite qu'il possède des capacités cognitives gigantesquement supérieures et/ou très différentes. C'est hautement improbable
                  - il faut qu'il ne souhaite pas gagner confortablement sa vie en n'y passant qu'une demi-heure. On est toujours dans le hautement improbable
                  - il n'a pas d'argument qui montre un début de commencement d'un truc qui permette de se dire que ok, pourquoi pas (par contre il a rétropédalé en disant que pour une solution robuste se serait 2 jours. C'est juste un poil moins improbable)

                  • [^] # Re: Mitigé

                    Posté par  . Évalué à 10.

                    Je propose qu'on verse tous (enfin tous les intéressés) un petit quelque chose à xulops pour qu'il nous code «un captcha top-moumoute, deux jours max.» (libre bien sûr !)
                    Ensuite ça nous fera un challenge intéressant pour voir en combien de temps les hackers de DLFP peuvent le passer.

                    xulops, si ça t'intéresse, je t'invite à nous communiquer un moyen pour te faire des dons et la somme qui te conviendrait pour fournir «un captcha top-moumoute, deux jours max.» (libre bien sûr !)

                    • [^] # Re: Mitigé

                      Posté par  (Mastodon) . Évalué à 6.

                      Ensuite ça nous fera un challenge intéressant pour voir en combien de temps les hackers de DLFP peuvent le passer.

                      Il y a eu dans le temps : http://caca.zoy.org/wiki/PWNtcha (oui, je sais, c'est vieux, mais…)

                      • [^] # Re: Mitigé

                        Posté par  (site web personnel) . Évalué à 6.

                        C'est à ce lien là que je pensais. Si en 2004, les captcha étaient déjà facile à craquer, j'ose pas imaginer en 2020…

                        • [^] # Re: Mitigé

                          Posté par  . Évalué à 4. Dernière modification le 15 avril 2020 à 23:21.

                          Ironiquement, l'API Vision de Google entraînée par les utilisateurs de Recaptcha, peut aider à casser les captchas des autres…

                          J'en ai testé 2 ou 3 marqués "very good" sur http://caca.zoy.org/wiki/PWNtcha :

                          • Cassé Titre de l'image
                          • 1 lettre fausse (le Q reconnu comme O) Titre de l'image
                          • Non cassé (là il lit " f u r a t r i y " …) Titre de l'image
                          • [^] # Re: Mitigé

                            Posté par  . Évalué à 5.

                            Il y eu aussi une faille avec la version audio de recaptcha. Il suffisait de l'envoyer à l'API text to speech de Google pour le résoudre. https://www.bleepingcomputer.com/news/security/researcher-breaks-recaptcha-using-googles-speech-recognition-api/

                            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

                            • [^] # Re: Mitigé

                              Posté par  (site web personnel) . Évalué à 5.

                              Mince, il faudrait un système pour vérifier que c'est bien un humain qui utilise la version audio. Pourquoi pas … un captcha ?

                              • [^] # Re: Mitigé

                                Posté par  (site web personnel) . Évalué à 10.

                                Les robots ont par contre assez facilement mis en place un système audio avec des mots imprononçables par les humains, ce qui leur permet de discuter entre eux des vrais sujets sans être interrompus ou préemptés.

                                • [^] # Re: Mitigé

                                  Posté par  . Évalué à 10.

                                  Je fais pourtant une très belle imitation de modem à la bouche !

                                  « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

              • [^] # Re: Mitigé

                Posté par  (site web personnel) . Évalué à -8.

                Tu t'occuperas des jours / mois / années de marketing, et sur tes deniers personnels, n'est-ce pas ?

                Sur le fond, les employés de Cloudflare n'ont sans doute pas eu leur mot à dire, dans ce genre de grosse boite les décisions ne sont majoritairement pas prises par des gens de la technique. D'après Wikipedia, Cloudflare est une boite "qui propose un réseau de distribution de contenu, des services de sécurité Internet et des services distribués de serveur de noms de domaine". Je ne doute pas un instant qu'ils aient les compétences en interne et l'infra pour le faire. Ca a tout l'air d'être une décision politique interne, aussi illogique (pour le dev que je suis) ou logique (pour d'autres, y compris les décideurs de la boite en question) qu'elle puisse être.

                Ton ton condescendant - ou agressif selon ton propre jugement -, je m'en contrefous. Je ne t'embaucherais pas en tant que dev, non pas parce que tu es antipathique, mais parce que visiblement tu ne connais rien sur l'aspect technique en question, et encore moins sur le fonctionnement interne des grosses boites.

            • [^] # Re: Mitigé

              Posté par  (site web personnel) . Évalué à 10.

              Si tu lis bien le blog de CloudFlare, ils ont listé la redéveloppement d'un captcha comme l'une des options, qui semblait même la plus prometteuse au départ. Ils ont visiblement renoncé car ayant trouvé un service qui correspondait à leurs besoins.

              Cloudflare est en plus assez réputé pour leur forte technicité dans tout ce qui touche à l'infrastructure (ils font régulièrement évoluer l'état de l'art en matière de protocole, sécurité, etc etc). Ils ont déjà redéveloppé pas mal de soft qui pourtant marchaient très bien chez tout le monde avant, simplement pour pousser au maximum les performances des softs pour leur cas d'utilisation très précis. On peut donc pas les soupçonner de refuser de prendre la responsabilité d'un développement logiciel, ils l'ont déjà fait à maintes reprises.

              Peut-être que tout simplement, hCaptcha correspondait très bien à leurs besoins même si cela contredit ton expérience personnelle.

              Cela dit, comme Zenitram, je soupçonne que tu ne mesures pas la difficulté réelle du développement d'un captcha. Il ne s'agit pas juste de faire un truc facile à reconnaitre pour un humain. Il s'agit de faire en sorte que tous les algos de reconnaissance d'image, de nettoyage d'image et d'intelligence artificielle se cassent les dents sur ton captcha, tout en le gardant facile à résoudre pour un humain. Et il faut faire ça plusieurs millions de fois par seconde. Et tu sais que si le captcha est lancé, c'est que le site protège des ressources sensibles, donc si tu te rates et que ton truc est facilement craquable, ça se traduit en dommage sécuritaire direct, et probablement financier derrière.

              J'avoue que je veux bien voir ton captcha basique déjà, celui qui ne prend qu'une demi-heure à développer. Juste pour voir s'il faut plus de temps que cela pour le craquer.

              • [^] # Re: Mitigé

                Posté par  . Évalué à 6.

                Il s'agit de faire en sorte que tous les algos de reconnaissance d'image, de nettoyage d'image et d'intelligence artificielle se cassent les dents sur ton captcha, tout en le gardant facile à résoudre pour un humain.

                Et même ça… Comme ça marchait trop bien, des gens ont eu une idée : faire faire le travail par des humains dans des pays pauvres. Du genre, au Pakistan. Comme c'est des humains, si ton client humain peut le résoudre, le type que tu payes aussi, et à quelques dollars les 1000 captchas, c'est pas cher. Je ne mets pas de lien pour ne pas leur faire de la pub, mais cherchez par exemple (dans un mauvais anglais) « pay man to resolv captcha », et vous trouverez des entreprises qui font ça.

                Le but est alors d'avoir un captcha qui distingue les humains légitimes (vrais acheteurs) des humains non légitimes (payés pour).

                • [^] # Re: Mitigé

                  Posté par  (Mastodon) . Évalué à 4.

                  Le but est alors d'avoir un captcha qui distingue les humains légitimes (vrais acheteurs) des humains non légitimes (payés pour).

                  Le but n'est pas forcément d'aller jusque là (ça me semble très difficile, surtout si on ne veut pas rejeter d'acheteur légitime), mais plutôt d'avoir des moyens d'ajuster la difficulté en fonction d'un certain nombre de règles. Le but est de faire perdre un maximum de temps (et donc d'argent) aux services de résolution, tout en évitant de faire fuir les clients légitimes.

                  Si au lieu de pouvoir résoudre 1000 captchas à l'heure (par exemple), une personne n'arrive plus qu'à en faire que 50, ça risque de réduire suffisamment la rentabilité du service pour qu'il ne soit plus viable.

                  • [^] # Re: Mitigé

                    Posté par  (site web personnel) . Évalué à 2.

                    Si au lieu de pouvoir résoudre 1000 captchas à l'heure (par exemple), une personne n'arrive plus qu'à en faire que 50

                    Mais ça veut dire que ton acheteur légitime qui pourtant s'est pris le captach (et encore, "pourtant" c'est en supposant qu'il n'est pas systématique) va mettre 2 minutes à le résoudre (oui car lui n'est pas entrainé donc il ne met pas 60/50 minutes) et abandonner l'achat.

                    • [^] # Re: Mitigé

                      Posté par  (site web personnel) . Évalué à 0.

                      Le moinsseur, après quelques maths niveau collège (50 à l'heure ça fait moins d'un par minute), peut aller chercher la littérature sur la corrélation longueur/difficulté du funnel d'achat - taux de conversion.

        • [^] # Re: Mitigé

          Posté par  (site web personnel) . Évalué à 4.

          Ce n'est quand même pas difficile à développer. En une demi-heure tu as un truc qui tient la route.

          Oh merde un développeur nodejs (y a 10 ans j'aurais dit PHP).

  • # Privacy Pass

    Posté par  . Évalué à 6.

    4) it supported Privacy Pass to reduce the frequency of CAPTCHAs;

    Cool, on va continuer à se taper des captchas à répétition au seul motif qu’on navigue avec Tor.

    • [^] # Re: Privacy Pass

      Posté par  (site web personnel) . Évalué à 3.

      Pour faire l'avocat du diable, pourquoi "sous prétexte" ? As-tu des stats fiables et objectives sur le taux de fraude parmi les utilisateurs de Tor montrant qu'il est égal à celui ne l'utilisant pas ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.