Moin Moin !

Ja? Wenn ich ein sleep(1) einbaue, dann braucht er egal wie schnell das ganze quer über das Internet funktioniert immerhin im Idealfall 1.125.899.906.842.624 Sekunden, macht über den Daumen noch ca. 35.702.051 Jahre. Oder habe ich mich jetzt grob verrechnet?
Selbst wennihc das weglasse, vermutlich schafft er ca. 100, max 200 Anfragen in der Sekunde, wenn ich davon ausgehe er schafft 1000 pro Sekunde, dann braucht er immer noch 35.702 Jahre!

und wenn ich dann noch ein sleep(2) einbaue(am besten nur dann wenns die Fehlermeldung gibt), dann wird es per Brute-Force vermutlich unmöglich - vor allem über das Internet, oder?

Das funktioniert aber nur bei einem wirklich blöden Angreifer, der schön brav eine ID nach der anderen ausprobiert. Mal sehen, ich könnte pro Rechner so um die 2^16 Ports zum Senden eines HTTP-Requests öffnen,  daß muß ich beim Wertebereich von MD5 nur höchstens 2^128/2^16 = 2^112 mal machen. Das mache ich mit 2^4 (16) Rechnern gleichzeigtig, schon bin ich bei 2^108. Dein Webserver bekommt dann 2^20 Requests auf einen Schlag, macht die Grätsche, und ich kann für heute Feierabend machen. *<:o)

Alexander