Gute Frage.
Also Oldperl war in einem anderen Thread der Meinung, dass das relativ einfach gehen müssten, wenn man die Ausgabe cached.
Per CSS müsste es gehen, dass du zum Beispiel ein
für Bots offensichtlich wichtiges Formularfeld nimmst und es mit Display:none unsichtbar machst, aber die dummen Bots "sehen" das trotzdem und füllen es aus.
Nun kommt das Problem der Auswertung, denn im alten Kontaktformular hatte man sehr einfachen Zugriff auf die Auswertung aber hier darf man sich mit irgendwelche Processoren herumschlagen, also Klassen erweitern oder ersetzen oder was auch immer.
Nun, jedenfalls funktionieren solche Honeypots sehr gut, denn die meisten Bots sind dumm.
Es gibt nur wenige intelligent programmierte, die auch das CSS dazu gehörig auswerten (Display-None) und das HTML dazu auch noch (Felder mit * müssen ...).
Aber auch die kann man damit austricksen, denn solche Bots lassen kein Javascript laufen, damit könnte man die Bots ja selbst infiltrieren und Trojaner setzen, die einem alles verraten was möglich ist (woher die Bots kommen, usw.).
Das ist die nächste Stufe, dass man mit Javascript den Rest der Bots austrickst.
Es lässt sich auch gut menschliches Verhalten von Bots unterscheiden, weil kein Mensch im hundertstel Sekundentakt die Formularfelder ausfüllt.
Aber auch das können intelligente Bots immitieren.
Ich speichere dann meistens noch die IP-Adressen mit, falls einer in die Falle tappt. Vom Datenschutz her gibt es keine Probleme, weil es erstens technisch notwendig ist für den Betriebsablauf und weil Spam-Bots kein Anrecht auf Datenschutz haben. Diese IPs kann man dann dazu nutzen, dass diese von vornherein gesperrt werden. Das spart Server-Ressourcen, was bei Spam-Flooding nicht unwesentlich ist.
Probleme gibt es eher mit Braille Readern oder ähnlichem, die kein CSS und kein Javascript berücksichtigen.
Aber diese Probleme sind Mengenmäßig kleiner im Vergleich zu der Masse an Leuten, die an Captchas scheitern.
Man kann noch tausend andere Dinge tun, die alle nichts mit Captcha zu tun haben.
Wenn man davon einiges noch mit einbaut, kann man eine sogenannte UND-Verknüpfung machen, bzw. eine Wahrscheinlichkeit erstellen, dass es ein Bot ist der da anfragt.
Leider sind einige Dinge davon mit
Dem Deutschen Datenschutz Monster nicht vereinbar, aber angesichts der Entwicklung bei Bots durchaus technisch notwendig.
Zum Beispiel die DNS-Abfrage bei Emailadressen, ob der Hostname ein Fantasiename ist oder ein echter Hostname:
http://www.php.net/manual/de/ref.network.php
Da weiß man nicht, ob da nicht irgendein
Deutscher Datenschützer wieder einen roten Kopf bekommt vor Aufregung.
Einer der es durchaus wissen kann, hatte mir vor Jahren mal gesagt, dass er und seine Leute fast jedes Captcha automatisch knacken könnten, bis auf eines mit Koordinatensystem.
Schade dass ich keinen Kontakt zu ihm habe, sonst könnte ich ihn zur aktuellen Entwicklung ausfragen oder mir Tipps geben lassen.