Hello,

Was muss ich eigentlich beachten? Es gibt, aus meinen Augen zumindest, ein Problem: die Webseite wird über verschiedene Server ausgeliefert und ich kann so nicht die Sessionsverwaltung des Webservers nutzen.

Aber brauche ich Sessions generell? Kann ich denn nicht eigentlich die Werte der Rechenaufgabe, also die Zahlen und den Operator, im Formular als Hidden-Feld mitgeben?

Du benötigst ein Token - auch für die Captcha-Lösung. Das Token sollte nach Möglichkeit ein Einmal-Token sein, also nach Benutzung ablaufen. Außerdem sollte das Token auch nach einer bestimmten Zeit ablaufen. Ob dieses Token nun in einem Cookie oder direkt in einem (möglichst nur einem Partner übermittleten) Link befindet, ist dabei zunächst unerheblich. Die Übermittlung als verdeckter Cookie (also wie bei einer Session) ist allerdings zu empfehlen. Auf ein zusätzliches Captcha kannst Du daher i. d. R. verzichten.

Die gesamte Cryptologie basiert im Prinzip darauf, dass man den Schlüssel garantiert nicht innerhalb eines bestimmten Zeitfensters ermitteln kann. Danach ist der Schlüssel aber wertlos.

Es würde daher vermutlich auch reichen, den Einmal-Cookie nur innerhalb eines bestimmten Zeitfensters zu akzeptieren. Robots sammeln immer erst einmal gerne und führen dann Stapelverarbeitung durch, oder reagieren so schnell, dass dies kein normaler User schaffen könnte.

Liebe Grüße
Tom S.