[eg0master]

CAPTCHA (dvs bilder som människor lätt kan läsa, men inte en dator) är ju iofs ett bra sätt att förhindra automatiskt utnyttjande av tjänsten, men personligen tycker jag det är drygt att använda. Jag kan acceptera det om det är en engångsföreteelse vid registrering, men om jag förstod dig rätt så handlade det om en demo av en tjänst som man skulle få nyttja "lagom" många gånger per dygn.

Lösningen att kräva cookies från klienten är i mitt tycke smidigare för användaren (blockar bara extrem paranoida användare), smidigare för dig (busenkelt att implementera) och blockar i dagsläget sannolikt 100% av alla botar. Om någon skulle orka skriva en bot som klarade cookies bara för att kunna missbruka din demo så tycker jag nästan du kan fundera på en ny lösning när det sker (och då är det väl aktuellt med CAPTCHA eller IP logging), men risken att någon skulle göra detta lär ju vara ganska liten.