Hi!

Das wäre aber mühsam, wenn ich für jeden Zugriff den Proxy wechseln müßte - Brute Force muß ja sehr schnell sein, sonst hat's gar keinen Sinn.
Brute Force erkennt und blockt man am besten über Logfiles und den Provider.
Einen sicheren Schutz kriegst Du auch ganz leicht:

1. Session ID mitführen.

was meinst Du mit mitführen?

2. Session ID plus geheimen String nehmen, MD5 davon und auch mitführen.

Wenn ich die SessionID verlängere hat mir Sven vorgerechnet, das es zar deutlich schwieriger wird, aber selbst die sessionID alleine ist schon schwer genug zu knacken!

So müßte jemand die Session ID (bei PHP glaube ich 128 bit) _und_ den Secret Key (kannst ja auch noch mal 128 bit lang machen) erraten - per Brute Force keine Chance. Wir reden hier ja vom Web, da kannste nicht 1 Milliarde Schlüssel pro Sekunde durchprobieren.

Ja, aber ich denke auch nicht, das jemand per Brute-Force probieren wird die SessionID zu knacken, sondern eher das Passwort oder Benutzername der Login-Seite! Kann ich irgendwie sicherstellen, das die das Script mit der login-Überprüfung nur definitiv nur eingaben von meiner Eingabeseite zuläßt? Referer ist ja nicht sicher, und alles was mir einfiele könnte man sehr einfach nachbilden und stünde auch im html-Code. Über $_POST ist das doch auch nicht sichergestellt, das trifft doch auf jeden POST Request zu, oder?

Also logge gene ich direkt sessions mit, nicht erst bei der Anmeldung, und logge IP, SessionID, User-Agent und Zeitpunkt, dann kann ich gucken ob gleiche Session ID, oder Kombination aus IP und SessionID, oder ähnliches, und wenn bestimmt eGrenzwerte überschritten werden, wird IP, SessionID gesperrt. Oder? Was sagt Ihr dazu?

Grüße
Andreas