Hallo Jonathan,

Sicher, aber ein Bot braucht gar keine html-Elemente zu verwalten. Er kann ja im Falle eines GET-Formulars einfach folgendes Aufrufen: http://adresse/script?browser_kann_javascript=1&text=toller spam

Dazu muss er das Feld aber erst kennen. Und das Flag muss ja auch keine Ja- oder Nein-Entscheidung sein sein, sondern kann durchaus ein mittels Javascript errechneter Wert sein, der sich andauernd ändert, Hash der Session oder so etwas. Marc hat nur eine Webseite, allein vom Aufwand lohnt sich das für einen Bot-Schreiber nicht, dem Verfahren auf den Grund zu gehen und das Bot-Skript entsprechend anzupassen.

Und serverseitig kann man dann simpel eine Wahrscheinlichkeit für Spam bestimmen:

• Formularfeld ist mit dem temporär richtigen Wert ausgefüllt
  → Hohe Wahrscheinlichkeit auf menschlichen Nutzer mit aktiviertem Javascript
• Formularfeld ist falsch ausgefüllt
  → Hohe Wahrscheinlichkeit auf einen wild um sich schiessenden Spambot.
• Formularfeld ist gar nicht ausgefüllt
  → Wahrscheinlichkeit auf einen menschlichen Besucher mit deaktiviertem Javascript.

Natürlich muss man dem Bot vorher einprogrammieren, das er das machen soll.

Das ist eben die Chance. Natürlich kann man jedem Bot eine Aushebelung des Verfahrens beibringen; absolute „Sicherheit“ erreicht man da nicht. Beachte bitte auch, wie ich von Wahrscheinlichkeiten rede. Der Knackpunkt ist es aber, das schwieriger zu machen, dass es sich nicht lohnt. Kommentarspam ist ja unter anderem ein Problem geworden, weil es so viele Standardinstallationen von bestimmten Skripten gibt, Wordpress, Textpattern, etc., bei denen die Formularfelder oder gleich das Zielskript bekannt ist, danach hat sich das meines Empfindens erst auf das wilde POST-Ballern verlegt. Einzellösungen mit randomisierten Aspekten gewinnen da nun mal, weil es sich für einen Bot-Autoren im Gegensatz zu einer ubiquitären Lösung dort weniger lohnt, sich den Mechanismus so genau anzuschauen, um ihn dann umgehen zu können.

Im übrigen sehe ich auch kein großes Problem Bots Javascript bizubringen. Mozilla-Browser kann man leicht anpassen, da müsste auch problemlos Bot-Funktionalität einprogrammierbar sein.

Leicht ist etwas übertrieben, aber ja, es ist möglich. Nur: Spam wird meist von Botnetzen abgesetzt, so ein Bot muss sich auf seinem „Wirtssystem“ recht unauffällig verhalten (weil Virenscanner) und möglichst effektiv (weil er soll ja _Massen_versand betreiben). So ein hypothetischer Bot mit integriertem Mozilla inklusive Javascript-Interpreter hat da einen ziemlich großen Fussabdruck. Und wenn der dann noch einen rechenintensiven, sich verändernden Algorithmus durchrechnen muss, wird das schnell untoll im Sinne des schnellen Massenversandes.

Das ist im wesentlichen dieselbe Logik, die auch hinter Möglichkeiten zur Spamverringerung wie HashCash oder teilweise auch Greylisting stehen: Jede Transaktion mit etwas kostenintensiven Aufwand zu belegen, so dass der Massenversand unökonomisch wird, hier sind es Rechen- und Entwicklungskosten. Solange nur mit technischen Mitteln versucht wird, Spam zu erkennen, bleibt es nun mal ein Rüstungswettlauf.

Tim