Guten Abend ins Forum,

Bei der Captcha Abfrage stellt sich mir jedoch die Frage der Sicherheit?

SSL wurde schon erwähnt und auch, dass JS sowie das was da "hin und her geht" ziemlich offen ist. Wenn schon Captcha, dann sollte anhand Quelltext oder dem Request der folgt, nicht erkennbar sein, was das Captcha (Bildchen mit Ziffern und Buchstaben) beinhaltet. D.h., die Zuordnung zwischen dem, was das Captcha darstellt zu dem was es beinhaltet, sollte nur dem Server bekannt sein. Sofort durchschaubar wäre beispielsweise ein Image mit dem Namen '1234.peng' was die Ziffern 1234 darstellt ;)

Danke für eure Meinung!

Unter der Vielzahl von Lösungen, die sicherstellen sollen, dass da wirklich ein Menschlein vorm Bildschirm sitzt, mein Vorschlag, der recht einfach ist:

Liefere das Eingabeform mit einer Unique-Id (input hidden). Diese Id ist auch serverseitig hinterlegt mit Zeitstempel der Auslieferung/Erstellung, das kann in einer DB Tabelle (1) erfolgen. So kann jedes Form nur einmal submittet werden und es kann auf ein Zeitfenster geprüft werden, der Human-Anteil besteht darin, dass das Formular vor dem Abschicken erst gelesen und ausgefüllt werden muss.

(1) Die Tabelle ist regelmäßig zu bereinigen, abgelaufene Id's werden gelöscht, das stellt den anderen Rahmen fürs Zeitfenster sicher.

Summa: Kein Cookie und der Benutzer muss kein Captcha abtippen.

Hotti