Hallo!

Versuch es mal, eine Erkennung durchzuführen, dass ein Client eine Session-ID zu erraten sucht und genau diesen Client auszusperren, wenn er mit dem nächsten Versuch kommt.

Geht das denn bei SSH?

Woran willst Du ihn erkennen? Es gibt da Cal-by-Call-Provider, die jeden Request über eine andere IP abwickeln. Ich brauche also nur so einen zu nutzen.

Dasselbe Problem hast Du bei jedem Protokoll wenn Du mich fragst!

Und noch was: Ich brauche nicht zu warten, bis die Antwort auf einen Request eingetroffen ist. Ich kann von meinem Server aus (der spielt Browser) alle Millisekunde oder öfter einen Request abschicken (vorausgesetzt, er hat genug Speicher) und dann z.B. bei Basic Auth einfach schauen, welcher nicht mit 401 sondern mit 200 beantwortet wurde. Die 401er schmeiße ich nach Registrierug, dass sie falsch sind, gleich weg.

Ist ja schön und gut, zum einen bezweifele ich das Du so schnell Requests absenden kannst, aber ich weiß definitiv das ein durschnittlicher Web-Server vielleicht 200 Requests an ein PHP oder PERL-Script bearbeiten kann.  Du kannst so viel so schnell schicken wie Du willst, dadurch kann der Server auch nicht mehr beantworten, vermutlich erreichst Du damit "nur" einen DOS.

Session-IDs muss ich außerdem nicht immer erraten. Es gibt hier ja Leute, die Sessions über inline-IDs für genial halten, weil sie aus irgendwelchen mir unerklärlichen Gründen Cookies ablehnen. Ich habe nun schon ein paarmal eine solche Seite von Freunden per eMail geschickt bekommen. Die wollten mich einfach auf irgendwelche Angebote hinweisen. Die Session-ID stand natürlich drin.

Das ist ein Risiko dessen ich mir bewußt bin.

Grüße
Andreas