In der letzten Zeit kommen immer mehr Besucher, die beim HTTP_USER_AGENT keinen Eintrag haben. Sind das alles Bot's, oder können das auch "echte" Besucher sein?
Was könnte ich sonst noch auswerten, um einen "echten" Besucher zu erkennen?
Wie vor kurzem es schön bei einem Vortrag zur Sicherheit im Web hieß: "Traue niemals einer Benutzereingabe!"
User Agent kommt bestenfalls vom Browser, kann aber leicht vom Benutzer manipuliert werden. Microsoft stellt sogar Anleitungen dafür online. Opera hat eine inegrierte Funktion dafür. FF - Erweiterungen...
Die einzige Angabe, die halbwegs verarbeitet werden kann ist die IP-Adresse. Aus dem Host kannst du dann ermitteln, aus welchem Netz der Besucher kommt und dann entscheiden, ob es ein Bot sein kann oder ein "normaler" ins Internet eingewählter PC ist.
Allerdings auch nicht ohne zu differenzieren. Es kann auch ein Proxy sein, den du angezeigt bekommst. Oder eines der Anonymisierungsnetzen. Oder ein AOL-Benutzer, der bei jedem Zugriff sogar eine neue IP bekommt.
Ist im Grunde aussichtslos zu behaupten, man sieht zu 100% einen Besucher oder nicht.