Hallo!
Nachdem wir unten (http://forum.de.selfhtml.org/?m=74095&t=13386) sehr ausführlich über die Sicherheit eines hauptsächlich über Sessions geschützen HTTP-Bereich diskutiert haben, ist jetzt noch die Frage offen, wie man einen Hackerangriff darauf erkennt, und nicht tagelang über ein Script 'probiert' werden kann.

Auf alle Fälle werde ich SSL verwenden, dann einen eingeloggten Besucher in einer Session registrieren, und gleichzeitig einen Cookie mit Timestamp und evtl. noch einer Information speichern, diese natürlich auch in der Session für die Kontrolle auf jeder geschützen Seite, und darüber hinaus noch den User-Agent auf jeder Seite kontrolliere. Ich habe mit einen Augen noch keinen sich über eine Session verändernden User-Agent gesehen!

Das besagte Problem ist jetzt - wie erkenne ich es, ob sich ein Hacker(oder besser Cracker) versucht einzuloggen - wenn man das so nennen kann :-).
Erstmal - kann man noch andere Angriffe als Brute-Force berücksichtigen? Aber auch die Brute-Force Angriffe sind nicht unbedingt leicht zu erkennen, oder? Man könnte ja einfach die mißlungenen Versuche loggen, und wenn das in 1 Minute mehr als 10 sind dann IP direkt abwehren. Nur kann man ja die IP zwischen den einzelnen Zugriffen über Proxies doch ändern, oder? Und wie könnte ich das erkennen bzw. verhindern?
Vielleicht über den User-Agent, wenn da in 1 Minute 50 mal der gleiche steht, dann Ende?
Wie würdet Ihr das machen und was sollte ich Eurer Meinung nach noch berücksichtigen?

Viele Grüße
Andreas