Vous en avez marre de prouver que vous n’êtes pas un robot ? Google et Apple annoncent le déploiement d’une nouvelle technologie en remplacement des bons vieux « CAPTCHA ».
Qu’est ce qui empêchera un humain de mettre son jeton disponible pour un robot?
1 « J'aime »
Recaptcha n’est pas RGPD c’est techno le sera t’elle ? j’en doute sérieusement car qui dit identifiant unique dit utilisateur identifiable.
Le navigateur ne donne probablement pas accès au token, tout simplement.
Par contre ça implique aussi que le token ne soit pas envoyé directement aux sites (sinon on peut le récupérer du côté serveur), il y a probablement un système à base de hash et de signature pour que le token envoyé à un site lors d’une session ne soit utilisable que pour ce site et cette session. Comme avec les Captcha, dont le jeton était aussi à usage unique pour empêcher une réutilisation.
J’ai essayé de trouver un peu plus de détails sur le mécanisme utilisé, mais je n’en ai pas trouvé…
4 « J'aime »
De surcroît, cette dernière est loin d’être du goût de tous : qui n’a jamais été agacé face à l’apparition de la fatidique question « Êtes-vous un robot ? » Synonyme d’une poignée de secondes perdues dans la résolution d’un puzzle
En soit les captcha me gênent pas trop tant qu’ils fonctionnent bien. Certains semblent limite aléatoires dans leur validation ou non de la réponse (et c’est là je trouve qu’on perd du temps à répondre à plusieurs captcha parce que les premiers sont à côté de la plaque).
Merci de prouver que vous n’êtes pas un robot en versant 2 gouttes de votre huile moteur sur le touchpad.
ça s’appelle un certificat ton truc.
Et puis si le navigateur stocke ce certif (ou token ou ce que tu veux) : qu’est-ce qui empêche un outil d’automatisation des navigateurs de tromper le site marchand ?
La difficulté à simuler une utilisation réaliste du navigateur.
Sur ordinateur, il peut par exemple analyser les déplacements de souris pour déterminer si l’utilisateur est humain. Il est en effet très difficile de simuler de façon réaliste les mouvements de souris d’un utilisateur humain, comme l’avait montré Cloudflare (pas infaillible, ça a été contourné plusieurs fois, mais considéré aujourd’hui comme plus fiable que les captcha à l’ancienne).
Sur mobile, ça peut se faire avec les donnes des capteurs d’accélération/gravité.
Et le navigateur a accès à une masse d’autres données plus ou moins difficiles à simuler de façon réaliste (historique, fichiers, clés matérielles…).
Il se peut aussi qu’il y ait par exemple au démarrage du navigateur une demande de validation sur un appareil mobile ou sur une clé WebAuthn.
En outre, le simple fait de devoir faire tourner un navigateur complet et déjà un frein pour les bots, en augmentant très fortement les ressources nécessaires… S’il faut un navigateur complet, avec un profil utilisateur réaliste, c’est plusieurs centaines à plusieurs Go de RAM par instance, et du temps CPU pour exécuter tout ça. Là où un système permettant de se passer complètement du navigateur peut tenir dans un script n’utilisant que quelques Mo de mémoire par instance et quelques ms de CPU.
1 « J'aime »
On peut supposer qu’un site pourra demander une clé publique au navigateur puis la soumettre au service pour en vérifier la validité, sans pour autant disposer du token de départ.
Reste que ça nécessite de dépendre encore un peu plus des 2 acteurs, puisqu’ils ne travaillent a priori pas sur une solution Open Source…
CAPTACHA de Google est efficace et est devenu transparent
La plaie c’est hCaptcha, système horrible et plein de bugs, heureusement peu de sites l’utilisent mais c’est une vraie galère quand c’est le cas…