Hallo Andreas,

• Ich will das wie bei der normalen HTTP-AUTH durch den Apache nach dem 3. Fehlversuch kein 401 sondern eine Fehlerseite gesendet wird. Wie mache ich das? Vermutlich macht der Apache das über die IP, d.h. er loggt die IPs mit Zeit und Anzahl an Versuchen oder? Kommt mir so umständlich vor! Da muß ich auf ale Fälle was mchen gegen Brute-Force.

Der Apache sendet _immer_ einen 401er _inklusive_ der Fehlerseite - der Browser zeigt sie nur beim dritten Mal erst wieder an. Gegen einen Angreifer, der es per Brute-Force und Perl-Script o.ä. probiert, kommst der Apache so nicht an.

Du kannst aber die IP jedes gescheiterten Versuchs mitloggen und bei drei Fehlerversuchen innerhalb einer Stunde von dieser IP dann einen 403er senden. (und Du brauchst einen Cleanup-Code, dass er alle mitgeloggten IPs, die älter als eine Stunde sind, wieder löscht)

Grüße,

Christian