Puoi bloccare il server malware solo se utilizzi un canale sicuro come HTTPS. Tuttavia, le implementazioni dei browser e le società di convalida SSL si concentrano principalmente sulla dimostrazione che l'endpoint del server è affidabile, non che l'endpoint del client sia affidabile (o umano). Senza l'autenticazione del client, non vi è alcuna differenza effettiva tra il reindirizzamento del computer di prove di lavoro umane e uno spammer umano indifferente che utilizza un computer per pubblicare il messaggio autosufficiente.
Avresti bisogno dell'equivalente del servizio di certificazione del cliente VeriSign / GeoTrust, ma libero, pseudonimo e solo premuroso di essere un essere umano. In questa fase, non ho sentito nessun servizio del genere. Una catena di certificazione del web-of-trust potrebbe essere un altro approccio; ma nessuna rete robusta, popolosa o francamente affidabile è stata ancora creata.
Un impegno per micro pagamenti potrebbe anche funzionare ma alzare il deterrente abbastanza da neutralizzare la proposta di valore dello spam, bloccare o scoraggiare molti utenti indipendentemente dalla funzione di deposito in garanzia - per quanti di noi credono che amministratori di server e moderatori del sito siano sufficienti per pagare le multe per spam?
La migliore risposta a questo punto è che non ti preoccupare del dirottamento CAPTCHA o del normale funzionamento dell'interfaccia post AJAX / HTML in un modo che richiede l'intervento umano dello spammer per ricodificare.
Sostanzialmente il tuo adeguamento umano dell'API del sito e l'incentivo dello spammer a modificare le API per il tuo sito. Potresti voler ridurre questi incentivi tramite il filtro antispam, ecc.