Hallo,

Wieso das? Wo immer ein Login-Feld besteht, sei es aufgrund von 401 oder Formularen, kann man ansetzen.

na gut Du denkst eventuell etwas zu weit hergeholt.
Das login.cgi ist natürlich nicht in dem geschützten verzeichniss und da
(solltest du eigentlich am besten wissen) ein perl.cgi ein server seitiges ablauf script ist
kann auch nur der server in dem verzeichniss htpasswd nachgucken und bei bedarf freischalten und nicht das
bruteforce-Programm das kein skript ist (jedenfalls seh ich das so)

Und was heißt "BruteForce _reagiert_"? Da reagiert üblicherweise nichts, da setzt man als Angreifer wissentlich ein Skript drauf an, weil man ein Login, dessen Position man kennt, überwinden will. Das bedeutet: Dem Angreifer ist sein Ziel bekannt - entweder das supergeheime Verzeichnis (auf das er beispielsweise aufgrund seiner Referrer-Auswertung gekommen ist), oder dein Login-Formular (sofern es eins gibt).

Das heisst er braucht das htaccess verzeichniss oder url nun mal um seine user:pass liste durchklappern zu lassen.

BruteForce ist mehr als das Abklappern einer Liste. Aber damit kann man natürlich mal anfangen.

klar so ähnlich wie der accessdiver,den ich selbst schon probiert habe.

Wenn du natürlich die URL so geheim hälst, dass sie auf deiner Site nicht auftaucht, und niemandem bekannt ist, und auch sonst keiner drauf zugreifen kann - dann kann man natürlich nicht angreifen, klar.

Na klar ist der geheim,
da bruteforce nicht in einem perl.cgi (nach pfaden) selbst suchen kann und darf(glücklicherweise:-))
Gruss vom Alain