Hallo Marc,

Wir möchten in einem aktuellen Projekt ("Linux Drivers") Benutzern ermöglichen, sich mit geringem Aufwand zu registrieren (...)

Das betrifft weniger die Spam-Geschichte als vielmehr den Punkt "geringer Aufwand": Ihr solltet auch OpenID implementieren. OpenID ist in kurz ein dezentraler Authentifizierungsdienst, der es einem ermöglicht, sich durch die Angabe eine URI zu bestätigen, dass man man selbst ist, die tatsächliche Authentifikation geschieht dabei aber durch einen eigenen Service oder sogar durch den eigenen Webspace.

* Wikipedia: OpenID
* Screencast des Verfahrens

Welche Möglichkeiten würdest du deiner Meinung nach einsetzen, um einen wilden Bot-Ansturm zu vermeiden?

Ich hätte keine Reue, Javascript einzusetzen, um ein "Benutzer benutzt einen JS-fähigen Browser"-Flag im abzusendenden Formular zu setzen. Dies ist nun mal ein sehr zuverlässiger Hinweis, dass der POST-Request von einem Menschen und nicht von einem Bot kam. Dies natürlich nur, wenn die Benutzung des Formulars von der Nicht-JS-Crew weiter möglich ist; bei Deiner Zielgruppe dürfte das höher als normal sein. Sieh es weniger als Aussperren, sondern als ein Hinweis der Bewertung auf Spam-Wahrscheinlichkeit des Requests. Kann man auch gut mit anderen Methoden kombinieren.

Sollte es eine hohe Spam-Wahrscheinlichkeit geben, wird der Post halt nicht sofort übernommen, sondern es kommt eine zweite Seite mit einem minimalen Turing-Test. Aber bitte keine grafisches Captcha sondern ein Text-Captcha, wie schon häufiger vorgeschlagen.

Tim