Lieber Ingo,

Die meisten Bots arbeiten "live", dh. sie scannen das Formular, machen Ihne Einträge an den vermeintlich passenden Stellen und schicken die Formulardaten in durchschnittlich 1 bis 3 Sekunden ab. Einige davon schicken dann zwar mehrfach verschiede Spams direkt hintereinander, ohne das Formular erneut zu scannen (also Scan 09:05:14, 1. Spam 09:05:15, 2. Spam 09:05:15) - manchmal auch mit unterschiedlichen IPs und verschieden Feldauswahlen, aber die würden auch nicht von der Zufallszahl abgehalten werden.

ich möchte Dir widersprechen. Die "Zufallszahlen" werden in einer Session vorgehalten. Existiert (noch) keine solche, werden jegliche "Zufallszahlen" aus einem abgeschickten Formular ignoriert, da ja keine Vorschau bisher bestätigt wurde und als HTTP-Antwort käme das Formular mit einer Vorschau (und neuen Zufallszahlen) an den Bot zurück - der das aber ignoriert.

Damit wird ein mehrfach-Abschicken erfolgreich geblockt, da die Session-Werte bei jedem Script-Aufruf geändert werden. Nur eine Race-Condition könnte die Bots aufhalten, _nachdem_ eine erste Vorschau erfolgreich vom Bot als Formular eingescannt wurde, sodass seine mehrfachen Aufrufe mit dieser Session so schnell am Server ankommen, dass in den verschiedenen Threads die Prüfung erfolgreich abgelegt wird, bevor die Zufallswerte geändert werden. Aber dazu muss ein Bot ersteinmal die erste Zwangsvorschau erfolgreich bestätigen... und daran scheitern sie bisher alle.

Liebe Grüße,

Felix Riesterer.