Die wichtigste Frage ist, wie sicher so ein System ist - wie leicht man es automatisiert loesen kann.
Der Vorteil, der das System hat ist, dass es nicht weit verbreitet ist. Also muessen die Angreifer erst ihre Skripts anpassen und wahrscheinlich werden sie sich nicht die Muehe machen.
Der Nachteil ist, dass es entweder sehr muehsam zu implementieren ist (serverseitig) oder sehr einfach zu knacken. Denn das Problem ist, wie bestimmst du die Position am Server wohin das Feld gezogen werden muss?
1. komplexe Variante
Der Browser sendet {x:300,y:400} an den Server, wenn er das Feld dorthin gezogen hat. Um pruefen zu koennen ob die Position stimmt, muesste der Server den HTML-Code rendern um die gueltige Position zu bestimmen - aufwaendig.
Ein weiteres Problem ist, dass am Client (Browser) eventuell eine andere Schriftgroesse hat,
Bilder nicht geladen werden usw. wodurch sich das ganze verschiebt und obwohl der User korrekt arbeitet, wird der Server immer eine negative Antwort senden.
2. einfache Variante
Das Feld wir einfach mit "position:absolute; top:400px; left:300px;" positioniert. Das hat den Vorteil, dass der Server die Loesung leicht ermitteln kann und es keine andere Problme gibt (Schriftgreosse, ...). Der Nachteil ist offensichtlich. Es ist trivial das automatisiert zu knacken. Braucht nur eine Regex auf den HTML-Code auszufuehren.
Knacken mittels Browser Addon
Ist sehr trivial. Liest die Position des Drop-Feldes aus und rufst dann direkt den Drop-EventListener mit den Positionen auf.