Captcha mit JS

Idee 2 - Captcha mit PHP und Sessions

Andere idee ist es die Felderbezeichnung in der Form selbst sollte nicht fest, sondern dynamisch sein. D.h. die felder heissen immer anders und zwar mit einer Zufallszahl. Welche Zahl für welches Feld steht, sollte man in die Sassionvariable ablegen. Hier ein BSP:

Form.php
Send.php
So sind die Felder immer anders benannt und es ist aus der Benennung nicht ersichtlich um welchen Parameter es in diesem Feld gehen soll.


Ist diese Idee sinnvoll?

Man könnte auch die Beiden Ideen kombinieren um die Sache für Spambots zu verkomplizieren.

Mit der ersten Idee schließt du alle Non-JS-User von vornherein aus, bei der zweiten können auch Browser die Felder nicht mehr (wieder-)erkennen und kein Autofill machen.

Abgesehen vom Einwand, dass das dann auch für echte Nutzer ohne JS nicht benutzbar ist - Spambots lesen nicht nur automatisiert Formulare aus, sondern manchmal wird auch menschliche Arbeitskraft eingesetzt, um Formulare zu analysieren. Und wenn sich jemand anschaut, wie den Formular per JS aufgebaut wird, kann man das auch einem Bot einpflanzen, der dann wiederum ganz automatisiert seine Anfragen sendet, ohne dass du das serverseitig unterscheiden könntest. (Zugegeben, für ein popeliges Gästebuch wird der Aufwand vermutlich nicht betrieben - aber auf interessanteren Seiten durchaus ein plausibles Szenario.)

Die Struktur des HTML-Dokumentes dadurch versauen? Das kommt in meinen Augen einer Kapitulation vor Spammern gleich.
Dann doch lieber Lösungen wie Akismet.

Das alles stimmt, diese Nachteile sind mir schon klar und ich sehe diese auch ein.
Jedoch surfen inzwischen so gut wie alle Internetbenutzer mit JS-fähigen Browsern und Autofill ist bei den mit einer Captcha zu schützenden Formularen ehe uninteressant. Dagegen sind sehr viele, vor allem ältere Internetbenutzer, von visuellen Captchas überfordert. Ich selbst habe oft sogar Probleme zu erkennen was genau da stehen soll... eher bin ich also bereit auf Autofill zu verzichten. Barrierefrei sind eigegentlich beide Varianten kaum.

Also man "versaut" nur die Namenattribute der Inputtags. Das ist zwar nicht schön aber am sonsten sehe ich da keine gravierenden Auswirkungen (nur Autofill geht nicht mehr), die mit einer Kapitulation vergleichbar wären.

Aber wer behauptet dass der Spambot nicht einfach blind alle Input-Felder irgendwie ausfüllt und abschickt? Oder eine Nicht-Maschine die Felder ausfüllt? Dann hast du den Mist trotzdem in der Datenbank. Ich würde die Daten erst nach Absenden validieren, alles andere ist auf Dauer nichts.