Lieber Volker,

Sehe ich das richtig, dass du darauf setzt, dass ein Spambot ein für Menschen nicht sichtbares input-Feld ausfüllt?

Ja. Für Menschen steht da explizit, dass dieses Feld leer zu bleiben hat, sollte es per CSS nicht unsichtbar sein (kannste im Firefox testen, wenn Du das Stylesheet deaktivierst).

Hm, wohl auch nur eine Frage der Verbreitung dieser Methode, bis das automatisiert umgangen wird.

Es ist für einen Bot-Schreiber ein Problem, anhand des Umfeldes eines <input>-Elements zu entscheiden, ob die dortigen Eintragungen Pflichtfelder, oder eben nicht sind. Der für das Formularfeld vergebene Name ist da schon eher geeignet, auf seine Verwendung Rückschlüsse zu ziehen.

Sollte meine Methode einmal nicht mehr fruchten, dann werde ich für alle <input>-Felder das name-Attribut per Zufall (Session-gespeichert) generieren, sodass selbst dieser Anhaltspunkt keine Rückschlüsse mehr für seine Verwendung zulässt. Etwas ähnliches habe ich ja schon mit meinem Schlüssel-Schloss-Prinzip, das ursprünglich sicherstellen sollte, dass das originale Formular von einem Menschen benutzt wurde, da ein endgültiges Abschicken nur bei passendem Schlüssel und Schloss gelingt.

Auch die Reihenfolge der <input>-Felder könnte ich mir zufällig ausgegeben vorstellen. Allerdings wird es dann schwer, die zugehörigen Hinweise zum Ausfüllen darstellungstechnisch so zu positionieren, dass der Besucher das dann wieder zusammensetzen kann. Ohne Stylesheet wird das Ganze dann aber auch unbenutzbar, was eine Barriere darstellt. Und wir wollten doch barrierefrei bleiben...

Liebe Grüße aus Ellwangen,

Felix Riesterer.