Hello,

Vorsichtig sollte man aber auch damit sein, nicht zu viele Login-Versuche zuzulassen und dies für Benutzeraccounts und IPs (nur auf IPs ist eine schlechte Idee, die Nutzern eines Uni- oder Schul-Netzwerks würden sich sehr darüber freuen 😟) auf eine bestimmte Anzahl von Versuchen zu beschränken.

Abgewiesene Logins sind nicht das Thema, sondern Session-Klau mittels erratener Session-Tokens. Also in PHP gesprochen, einfach nur PHPSESSID senden, was das Teug hält, bis eine passt. Derartige Requestbursts sind bisher nicht abgefangen.

Liebe Grüße
Tom S.