Hallo Henryk,

a) Es gibt gar kein 'Login', bei HTTP Authentication wird jeder Request einzeln authentifiziert und authorisiert.

Bei HTTP-Authentifizierung: ja. Allerdings kann man auch eine Authentifizierung, die sich Sessions als Hilfsmittel zur Benutzerwiedererkenung bedient, bauen. Und bei dieser ist es dann sehr wohl möglich, einen Benutzer nach soundsoviel fehlerhaften Loginversuchen temporär (oder permanent) zu sperren.

Viele Grüße,
Christian