Ich habe gerade mal durch Zufall in das log gesehen. Die Methode min. / max. Zeit plus verstecktes E-Mail-Feld, welches aber leer bleiben muss, funktioniert offensichtlich sehr zuverlässig.cmb wrote: ↑Fri Feb 05, 2021 10:29 pmUnd das hilft halt nicht wirklich viel gegen automatisierte Angriffe. Es sollte nicht schwer sein, die auf dem Server eingestellte Zeitzone herauszufinden, und dann kann der Bot für dieses Feld einfach time()-60 senden. Und wie schon gesagt, solange das CAPTCHA als Text ausgegeben wird, kann dieses prinzipiell sehr leicht ausgehebelt werden (Bot ruft Formular ab, liest den Code aus, und sendet diesen zurück). Für allgemein programmierte Bots (gibt es solche überhaupt?) hilft es natürlich schon, aber die könnte man vermutlich auch mit einem Feld "bitte leer lassen" oder "bitte 42 eintragen" austricksen.
Ich teste meine Formulare in den letzte Monaten recht regelmässig selbst. Dazu kommen regelmässig echte Anfragen, so dass ich davon ausgehe, die Formulare tun, für einen normalen Besucher, was sie sollen.
Das log ist jedenfalls wesentlich voller, als die E-Mails, die tatsächlich ankommen.
Beim kurzen überfliegen kann man anhand der E-Mail-Adressen schon ganz gut abschätzen, dass es Spam ist.