Hallo.

An welche Maßnahmen/Prüfungen denkst du dabei konkret? Mir kam beim Lesen deines Postings etwa in den Sinn, bestimmte Inhaltsbereiche und/oder Hidden Fields erst durch JS zu aktivieren, um sie danach auszuwerten, oder aber den Submit-Button auszutauschen und mit zusätzlichen Parametern zu versehen: das alles hat aber nicht die gewünschte Wirkung, wenn auch der Bots JS interpretiert.

Ich dachte eher an subtilere Methoden wie die regelmäßige Übergabe von Cursor-Koordinaten oder die Übermittlung von Tastendrucken. Das hätte den Vorteil, dass man server-seitig entscheiden könnte, welche Werte man für plausibel hält. Wenn etwa weder der Bereich um zwei Felder herum mit dem Cursor berührt, noch die Tabulatortaste betätigt wird, aber beide Felder inhaltlich verändert worden sind, sprich das gegen einen menschlichen Nutzer. Ähnliches gilt für weitgehend konstante Mausbewegungen, Mausbewegungen während schnellen Tippens etc.
Um versehentliche Fehleinschätzungen auszuschließen könnte man die einzelnen Kriterien auch beim Absenden server-seitig gewichten und verrechnen. Viel Aufwand, aber Captchas werden ja auch keine Handarbeit.
Noch ein Schuss aus der Hüfte: Mausberührung oder Tastendruck ändert Klasse des berührten Objektes. -> Über den CSS-Selektor ändert sich die Eigenschaft eines Tochterelementes. -> Eigenschaft des Tochterelementes wird ausgelesen. Damit müsste der Bot zumindest Javascript beherrschen, CSS interpretieren können, und wissen, wie sich welche Eigenschaften auf Tochterelemente auswirken. Der Autor allerdings auch.
MfG, at