Hallo!

Ich habe ein Admin-Verzeichnis, und ich möchte das gerne per .htaccess(Basic-Auth) schützen. Nur kenne ich hier keine Möglichkeit, dieses gegen Brute-Forece Angriffe zu schützen. Ich würde gerne 2 Dinge implementieren:

1. nach Eingabe falsche Zugangsdaten 5 Sekunden mit der Antwort warten
2. Nach x falschen Eingaben Account für eine Gewisse Zeit sperren.

Ich denke das lässt sich mit .htacess nicht realisieren, oder?
Ich müsste aber das ganze VErzeichnis schützen, weil ich einige Scripte in die ich nicht eingreifen will, und auch HTML im Verzeichnis verwende.

Wie würdet Ihr das realisieren?
Oder per Rewrite-Rule die alle Anfragen an ein PHP-Script leitet, welches did Authentifizierung durchführt so wie ich mir das vorstelle, und ggfs. per Location-Header weiterleitet?

Was gäbe es für Alternativen, auch unter dem Gesichtspunkt mögicher DOS-Angriffe? Denn ein PHP-Script ist ja schon eine ganz schöne Bremse. Hätte es Sinn statt dessen ein C-Script per CGI zu verwenden? Wobei ich eigentlich CGI deaktiviert habe, aber das ließe sich zur Not ändern. Das ganze läuft übrigens auf Linux mit Apache 1.3.

Oder vielleicht ein eigenes Apache-Modul schreiben? Aber davon habe ich Null Ahnung.

Grüße
Andreas