Nouveau CAPTCHA dans geOrchestra

Pour l'inscription nouveaux comptes.

C'est quoi un CAPTCHA ?

CAPTCHA actuel : Google reCAPTCHA

Pourquoi arrêter d'utiliser Google reCAPTCHA?

  • Utilisateurs rennes métropole difficultés avec reCAPTCHA
    Très difficile à résoudre (pour les utilisateurs Firefox)
  • Peut être trop haute sécurité pour une plateforme geOrchestra publique.
  • Pas conforme RGPD
  • Americain et Google

Oui mais le remplacer par ... ?

CaptchEtat

  • Géré par l'état français, souverain.
  • Simpliste (images, texte, son, etc)
     
  • Peut être moins efficace contre les attaques.
  • Solution dans le "cloud".

Turnstile

  • Simple, un seul clic. Pas besoin de remplir du texte ou de cliquer sur tous les cônes oranges.
  • Développé par Cloudflare, société détient 20% trafic mondial d'internet donc bonne expérience contre les attaques.
  • Conforme RGPD
  • Gratuit
     
  • Américain.
  • Solution dans le "cloud".

hCAPTCHA

  • Connu pour "l'alternative à Google reCAPTCHA". Moins difficile à résoudre que reCAPTCHA.
  • Sophistiqué, mit à jour souvent donc très efficace contre les attaques.
  • Utilisé par 400 000 sites internet dans le monde.
  • Gratuit
     
  • Conforme RGPD uniquement dans la version payante
  • Americain
  • Solution dans le "cloud".

FriendlyCAPTCHA

  • Simple, un seul clic. Comme turnstile
  • Conforme RGPD
  • Européen.
     
  • Gratuit jusqu'à 1000 requêtes/mois
    => 1000 tentatives d'inscriptions par mois. Puis payant
  • Solution dans le "cloud"

Local, dans geOrchestra

github.com/logicsquad/nanocaptcha

  • Inclus dans geOrchestra, un seul paramètre à activer dans la configuration de geOrchestra.
  • Simpliste, du texte à entrer.
  • Plus de temps d'implémentation que les autres CAPTCHA "cloud". Financement un peu plus conséquent.
     
  • Forcément moins efficace. Peut être non "pérenne" dans un monde où les attaques sont de plus en plus sophistiquées.
    La DSN de Rennes métropole ne va peut être pas aimer.

Levez la main !

  • CaptchEtat, Turnstile, hCAPTCHA, FriendlyCaptcha, Local ?
     
  • Préférez-vous les CAPTCHA "un clic" ou remplir du texte pour résoudre l'image ?
     
  • Est-ce que vous êtes OK à passer max 20 secondes de votre vie à remplir un CAPTCHA ?
     
  • Pour les gestionnaires de plateforme publique.
    Est-ce que vous ciblez un haut de niveau de sécurité pour avoir aucune inscription frauduleuse.
    Ou vous êtes OK à avoir quelques inscriptions frauduleuses dont vous devez passer un peu de temps à les supprimer ?

Vos questions

CAPTCHA dans geOrchestra

By Emilien Devos (c2c)

CAPTCHA dans geOrchestra

  • 77