Moin!

Also ums nochmal zu erläutern,ein Angriff auf das login.cgi ist schon gar nicht möglich,weil Bruteforce eigentlich auf 401 request/antworten reagiert und nicht auf
200er antworten vom server,was ja sowieso immer der fall ist bei normalen anfragen.

Wieso das? Wo immer ein Login-Feld besteht, sei es aufgrund von 401 oder Formularen, kann man ansetzen.

Und was heißt "BruteForce _reagiert_"? Da reagiert üblicherweise nichts, da setzt man als Angreifer wissentlich ein Skript drauf an, weil man ein Login, dessen Position man kennt, überwinden will. Das bedeutet: Dem Angreifer ist sein Ziel bekannt - entweder das supergeheime Verzeichnis (auf das er beispielsweise aufgrund seiner Referrer-Auswertung gekommen ist), oder dein Login-Formular (sofern es eins gibt).

Das heisst er braucht das htaccess verzeichniss oder url nun mal um seine user:pass liste durchklappern zu lassen.

BruteForce ist mehr als das Abklappern einer Liste. Aber damit kann man natürlich mal anfangen.

Aber wo kein htaccess geschützes verzeichniss ist bzw. wenn keines gefunden wird,kann er es auch nicht anwenden,seine anfragen mit bruteforce.

Wenn du natürlich die URL so geheim hälst, dass sie auf deiner Site nicht auftaucht, und niemandem bekannt ist, und auch sonst keiner drauf zugreifen kann - dann kann man natürlich nicht angreifen, klar.

- Sven Rautenberg