Also muss das JavaScript die Kombination kennen, also muss sie irgendwo im Quelltext zum Client uebertragen werden.
Nachdem der Spammer das Formulardokument ein mal analysiert hat, weiss er, wo dieser Wert zu suchen ist, kann also diese Aufgabe fuer kuenftige Formularabrufe automatisieren.

Man könnte es durch irgendeine Art Verschlüsselung laufen lassen... die ist natürlich auch JavaScript-basiert, und daher grundlegend unsicher...

Aber die Frage ist: Ist es das Wert? Wird der Spammer so einen Aufwand betreiben, um ein deutschsprachiges Portal mit einigen Tausend Mitgliedern vollspammen zu können?

Oder vielleicht gibts eine andere Möglichkeit... mit JavaScript/Ajax eine entfernte PHP-Seite aufrufen und dieser irgendein Ticket übermitteln... dann wird irgendwo (datenbank, textdatei) die IP-Adresse eingetragen; das Formular-Script schaut beim Absenden nach, ob die IP dort auftaucht: Wenn ja, wird die Bilderkennung übersprungen...

Klingt auch nicht viel sicherer, oder? Aber ich hasse diese Bilderkennungs-Teile und hätte zu gern eine Lösung, die den Benutzer nicht behelligt...

Grüße
Lars