Hi,

.htaccess:
Der Benutzername steht in den Logfiles.

Insbesondere:
Ein gescheiterter Zugriff ist ein dem Webserver begreifliches Ereignis.

So, wie man eine Error-404-Seite definieren kann, kann man auch eine
Error-403-Seite definieren. Und die kann ein CGI-Skript sein.
Das heißt, man kann als "Verteidiger" auf den "Angriff" gezielt reagieren.
Man kann beispielsweise die IP-Adresse eines "penetranten" Angreifers auf
eine Schwarze Liste setzen und die nächsten <n> Zugriffe automatisch ab-
weisen, selbst wenn er das Passwort erraten hat. Gegen eine solche Ver-
teidigung würde ein einfaches brute force schon nicht mehr durchkommen!

Ein schwerzuerraten.html nicht zu finden ist dagegen ein normales 404-
Ereignis. Der Server hat kaum eine Chance, dies als "böswillig" zu ver-
stehen, ohne zahlreichen "gutwilligen" Besuchern unnötigerweise eins
"reinzuwürgen".

Es muß nur der URL erraten werden, u.U. helfen Referrer, Telnet o.ä.
dabei.

Oder sonstige Protokolle eines auf dem Weg befindlichen Proxy-Servers.
Wobei insbesondere das eigentliche Passwort bei Server Authentication
inzwischen auch verschlüsselt geschickt werden kann.

Es kann nicht nachvollzogen werden, ob ein bestimmter Nutzer
aussergewöhnlich oft auf die geschützten Dateien zugegriffen hat.

Gff. schon - durch Analyse des Access-Log (IP-Adresse).

Der Unterschied ist, daß der 403-handler sofort eingreifen kann; wenn
der Server-Admin sein Logfile prüft, ist es vielleicht schon zu spät.

Viele Grüße
      Michael