Hallo,

Du hast gegen BruteForce keine Chancen -

doch siehe [pref:t=64420&m=366520]

Nein, siehe [pref:t=64420&m=366488]. BruteForce muß nicht zwingend immer von derselben IP aus geschehen. IP != Benutzer. Man sperrt damit IPs aus, die teilweise auch unschuldig sind. Es reicht ja ein einziger AOL-User, der angreift, und nach einiger Zeit sind die gesamten AOL-Proxys ausgesperrt.

naja das sind doch eh nur proxys die sie benutzen für solche attacken.
Natürlich werden die nicht für ewig weggesperrt,
nur für ein paar stunden oder tage.
Und dazu muss ich auch sagen,dass die requests meist gar nicht auf das login.cgi direkt richten sondern
auf das denied.cgi welches nicht denied.cgi heisst,weil die nicht mal wissen,dass das cgi gar nicht
die htpasswd liste überprüft,sondern nur loggt.
Auch das login.cgi ist mit diversen schalter geschaltet,bevor der die passwortliste abklappert,damit sichergestellt ist,
dass sich der user auch wircklich von meiner login seite einloggt und nicht mit einem programm wie bruteforce von seinem lokalen rechner.
Das einzige was man könnte ist den server exploiden,
aber was nützt ihm das,wenn der name zum memberverzeichniss z.B. "/we23BzuIHjk/" heisst
und nicht /members wie bei den meisten?
Man könnte den namen fürs memberverzeichniss natürlich noch länger schreiben beliebig versteht sich.
Gruss vom Alain