Hi Rolf,

Der normalen 404-Meldung kannst Du nicht ansehen, ob mein CGI-
Skript sie zu recht oder zu unrecht schickt.
Ach so, du meinst der angreifer kann nicht unterscheiden ob er
wegen des falschen Passwortes oder wg. einer Blockade abgewiesen
wird und macht seinen BruteForceAngriff bis in alle Ewigkeit weiter?

genau das.

Der Angreifer hat nämlich ein Problem: Er kann sich nicht darauf ver-
lassen, das Kennwort herauszubekommen, indem er alle Möglichkeiten
ausprobiert.

Wenn sein Angriff beispielsweise vier Wochen dauert, dann kann sich
das Kennwort zwischendurch geändert haben. Und wenn es sich von einem
noch nicht probierten in einen bereits probierten Wert ändert, dann
wird der Angreifer in diesem Durchgang keinen Erfolg mehr haben.

Viele Grüße
      Michael