Dans notre quête de conformité aux normes RGPD, nous nous sommes récemment plongés dans l'univers des CAPTCHA pour dénicher la meilleure alternative à Google reCAPTCHA, du moins la meilleure pour nous. Aujourd’hui, je vous donne quelques bases sur les CAPTCHA, je vous présente les différentes solutions que nous avons comparées avec leurs avantages et inconvénients et je vous dévoile notre choix final.
En espérant que cela puisse vous faire gagner un peu de temps si vous aussi vous êtes à la recherche de la bonne alternative 😉

Au programme aujourd’hui :

• Une bonne alternative à Google recaptcha par Mélanie

• L’agence de recrutement pour les leads devs RoR !

Temps de lecture : 4 minutes

Hello les petits Biscuits !

Bienvenue sur la 18ème édition de Ruby Biscuit.
Vous êtes maintenant 432 abonnés 🥳

Je profite de cette introduction pour vous faire découvrir la chouette newsletter
« Quoi de neuf les devs ? ».
C’est une newsletter hebdomadaire gratuite pour les développeuses, développeurs, sysadmin, ops, sre, DevRel, sécu.

Chaque vendredi, Quoi de neuf les devs c’est : des articles, les news des réseaux, des vidéos, des podcasts, des outils, les mises à jour de la semaine, l’invité.e de la semaine, des offres d’emplois, les conférences et événements à venir, la possibilité pour les dévs de faire leur demande de stage, d’alternance, de job, une touche d’humour et une pointe de culture.

On y parle un peu de tout ce qui tourne autour du dév avec une forte appétence, il faut se l’avouer, pour le dév web.

D’ailleurs ça tombe bien, dans sa dernière édition je prends la parole ! Pour la découvrir et pourquoi pas vous abonner gratuitement c’est ici 👇

Quoi de neuf les devs ?

Quoi de neuf les devs ? Numéro 71

EDITO Hello chère développeuse, cher développeur, sysadmin, ops, sre, DevRel, sécu 👋 Comment allez vous ? Êtes vous prêt pour votre veille hebdomadaire sur le monde du dev ? STOP …

Read more

2 years ago · HappyToDev

Avant de vous laisser lire l’article du mois, je tenais à vous rappeler que vous êtes tous les bienvenus pour donner votre avis en commentaire et partager vos expériences sur les sujets que nous abordons. Vous pouvez aussi mettre un petit like ❤️ et/ou partager la newsletter à un copain ou une copine ! 😉

Bonne lecture.

Une bonne alternative à google reCAPTCHA

Les CAPTCHA ("Completely Automated Public Turing test to tell Computers and Humans Apart" ou "Test public de Turing entièrement automatisé pour distinguer les ordinateurs des humains") sont des tests utilisés pour distinguer les humains des robots.

Inspirés du célèbre test de Turing, qui évalue si un ordinateur peut convaincre un humain de sa propre humanité, ces tests consistent généralement en des tâches simples pour les humains mais complexes pour les robots, comme la reconnaissance de texte déformé ou la résolution de puzzles visuels.

Leur objectif principal est de protéger les plateformes contre une variété d'abus automatisés, comme la création de comptes spam, la soumission répétée de formulaires ou le scraping de données, généralement orchestrés par des spambots.

L'utilisation des CAPTCHA est fortement recommandée sur les plateformes impliquant des interactions sensibles, du e-commerce, des services financiers, les réseaux sociaux et les formulaires d'inscription, soit presque tout hors site vitrine.

Il faut savoir que tous les CAPTCHA n'utilisent pas les mêmes méthodes de test, voici quelques exemples :

• Reconnaissance de texte déformé : Les utilisateurs doivent saisir des mots ou des phrases à partir d'une image où le texte est déformé, rendant difficile la lecture automatique par des programmes informatiques.

• Puzzles visuels : Les utilisateurs doivent sélectionner des images spécifiques ou résoudre des puzzles visuels pour prouver leur humanité.

• Questions et réponses : Les utilisateurs doivent répondre à des questions ou à des énigmes simples pour valider leur identité humaine.

• CAPTCHA audio : Les utilisateurs écoutent un enregistrement audio et saisissent ce qu'ils entendent pour valider leur identité.

• CAPTCHA basé sur le temps : Les utilisateurs doivent effectuer une action dans un laps de temps donné pour prouver qu'ils sont humains.

Chaque type de CAPTCHA a ses avantages et ses inconvénients et certains peuvent être plus efficaces que d'autres pour certaines situations. Par exemple, les CAPTCHA basés sur la reconnaissance de texte déformé peuvent être moins accessibles pour les utilisateurs ayant des difficultés de vision ou de lecture, tandis qu'un puzzle serait plus adapté. Le choix du type de CAPTCHA dépend des besoins spécifiques de chaque plateforme et de ces utilisateurs.

Comme je l'expliquais plus haut, chez Capsens nous avons récemment creusé le sujet et comparé différents services pour trouver une alternative à Google Recaptcha, voici un résumé de nos recherches :

Quelle solution avons-nous choisie ?

TLTR; Invisible Captcha.

Invisible Captcha utilise la technique du "honeypot". Elle consiste à ajouter un champ invisible supplémentaire dans un formulaire web, que seuls les robots sont susceptibles de remplir. Contrairement aux CAPTCHA traditionnels, le champ "honeypot" est invisible pour les utilisateurs humains car il est généralement masqué avec du CSS.

Lorsque le formulaire est soumis, le site vérifie si le champ "honeypot" est rempli. Normalement, les utilisateurs humains ne le rempliraient pas car ils ne le voient pas. Cependant, les bots qui analysent simplement le code source de la page et tentent de remplir tous les champs de formulaire, peuvent être piégés en remplissant également ce champ.

Si le champ "honeypot" est rempli lors de la soumission du formulaire, ça bloque la demande et la traite comme un spam car cela indique probablement qu'il s'agit d'une soumission automatisée par un bot plutôt que par un utilisateur humain légitime.

Très simple à mettre en place, voici les étapes :

• Installer la gem.

• Ajouter le champ caché dans votre formulaire

<%= form_with(model: @topic) do |f| %>
  <%= f.invisible_captcha :subtitle %>
  <!-- or -->
  <%= invisible_captcha :subtitle, :topic %>
<% end %> 

• Ajouter le callback dans le controller

class TopicsController < ApplicationController
  invisible_captcha only: [:create, :update], honeypot: :subtitle
end 

Plusieurs options sont disponibles avec cette gem, pour nos plateformes nous avons utilisé les suivantes :

• timestamp_threshold qui offre une couche de protection supplémentaire qui permet de détecter les tentatives de spam basées sur la vitesse à laquelle un formulaire est soumis. Lorsqu'un formulaire avec un champ Invisible Captcha est rendu en html, un timestamp est enregistré. Lorsque le formulaire est soumis, la gem vérifie la différence de temps entre le moment de la soumission et le moment de la génération du formulaire. Si cette différence de temps dépasse le seuil défini par timestamp_threshold, cela suggère qu'un spambot pourrait être à l'œuvre.

• on_spam qui nous permet de personnaliser le message d'erreur et la redirection en cas de détection d'attaque.

Il est important de préciser que le honeypot est un mécanisme bien plus simple que celui utilisé par d’autres CAPTCHA comme celui de google ou de friendly captcha. Il est donc plus facile de le contourner pour un robot un peu plus intelligent que les autres. Nous avons fait le choix de cette librairie principalement pour des raisons RGPD et parce que c’est gratuit mais tout ça en connaissance de cause. Bien sur, en complément nous avons des blocages de comptes pour les formulaires de sessions (avec Devise lockable) et des durées de saisie longues pour les formulaires d'inscriptions (avec l’option timestamp_threshold)ainsi que d’autres mesures afin d'éviter les spams et donc de limiter les DDOS (Distributed Denial-of-Service).

— Mélanie

L’agence de recrutement pour les leads devs RoR !

Comme vous le savez, derrière Ruby Biscuit, il y a Capsens 👋 , nous sommes une agence web qui fait du Ruby on Rails depuis 10 ans.

Avec le temps on s'est rendu compte que beaucoup de devs choisissent leur entreprise un peu par hasard alors qu'ils pourraient davantage s'épanouir et se valoriser dans des structures qui leur correspondent mieux. De plus on sait à quel point les process de recrutement peuvent ne pas être adaptés à notre métier et nos profils.

Ce qui tombe super bien c'est que chez Capsens nous avons une excellente connaissance de l'écosystème RoR en France, avec un réseau d'entreprises considérable. La plupart étant des boites bien installées (+ de 5 ans), avec des équipes tech déjà présentes et qui recherchent avant tout des leads devs et devs séniors.

C'est pourquoi nous avons décidé de mettre à profit nos ressources pour vous aider à trouver le poste de vos rêves !

Alors tu as plusieurs années d’expériences ? Tu souhaites trouver le prochain poste de lead dev de tes rêves ?

Concrètement voilà ce qui va se passer :

1. Réponds à cette newsletter en te présentant en deux lignes !

2. Je t’envoie aussitôt notre test technique pour évaluer ta séniorité

3. Je te propose des créneaux pour un appel afin de faire ta connaissance et que tu me dises ce que tu cherches pour t’épanouir dans une entreprise.

4. Je te propose 3 entreprises qui correspondent à ton profil et tes aspirations. Pour chacune de ces entreprises :

   1. Je me charge de te donner un max d’infos et répondre à toutes tes questions par message (horaires, ambiance, taille et séniorité de l’équipe, responsabilités, marge de manœuvre pour la négociation du salaire, localisation des bureaux, politique de télétravail, etc). Pas d’appels inutiles.

   2. Avant de rencontrer le recruteur lui-même, je te mets en relation avec un développeur de leur équipe. Tu pourras alors te faire une idée de comment ça se passe de l’intérieur.

   3. Enfin, le recruteur te recevra ! Il aura déjà eu toutes les informations que je lui aurai transmises sur toi ce qui vous permettra d’aller à l’essentiel !

Lance-toi, on attend ton e-mail ! Et si tu aimes déjà ton travail, ne nous contacte surtout pas ! Ou alors fais-le pour nous recommander ta boîte 😉

A la semaine prochaine pour l’édition hors-série !
Mélanie