Moin,

Nachdem wir unten (http://forum.de.selfhtml.org/?m=74095&t=13386) sehr ausführlich über die Sicherheit eines hauptsächlich über Sessions geschützen HTTP-Bereich diskutiert haben, ist jetzt noch die Frage offen, wie man einen Hackerangriff darauf erkennt, und nicht tagelang über ein Script 'probiert' werden kann.

Traditionellerweise fügt man einfach ein sleep(3) (evt. auch mit anderen Werten für 3) ein, wenn man feststellt dass das Passwort falsch ist. Wenn deine Passwörter so gewählt sind, dass sie sich mit einem Versuch alle 3 Sekunden in annehmbarer Zeit brute forcen lassen, dann hast du was falsch gemacht.

Immer wieder schön ist es auch, die Anzahl fehlgeschlagener Versuche pro Benutzernamen zu speichern und die Zwangspause Stück-für-Stück zu erhöhen, bzw. den Benutzernamen nach einer festgelegten Zahl an Fehlversuchen (bei T-Online beispielsweise soweit ich weiss 9) für einen Tag ganz und gar zu sperren, unabhängig vom Passwort. (Sinnvollerweise macht man das nicht mit dem Administratoraccount, aber der hat eh ein sicheres Passwort zu haben)

Eventuell musst du dann auch zu einem erfolgreichen Login eine kleine Zwangspause einführen damit man nicht erfolgreich/erfolglos allein schon an der Zeitdauer bis zur Antwort unterscheiden kann.

Eine Art lockfile anzulegen, um parallele Einlogversuche (zumindest für den gleichen Benutzername) zu verhindern ist sicher auch nicht falsch.

--
Henryk Plötz
Grüße aus Berlin