Hallo,

Wir können die Diskussion an dieser Stelle gerne abbrechen - vielleicht ja sogar beenden. Ich behaupte ja schließlich nicht, dass man in dein System mit BruteForce reinkommt. Ich behaupte nur, dass man durch den Versuch, so reinzukommen, dir bzw. den regulären Benutzern mehr Schaden oder Ärger zufügen _könnte_, als mit einem "normalen" .htacces-Schutz.

ich hab einen normalen htaccess schutz nur der login führt über ein cgi dort hin und nicht mit
einem direkt link ins htaccess geschützte verzeichniss,welche bruteforce benutzter benötigen,um
ihre 401 (bis zum eventuellen 200) abfragen am server durchscannen zu lassen.

Wenn du jetzt argumentierst, dass du noch nie Probleme gehabt hattest -

am Anfang schon,aber man lernt ja immer zu,auch durch cracken ;-)
Und übrigens wenn Du denkst,dass in der htaccess datei 100e von gesperrten ips sind dann irrst Du.
Ist mir auch klar dass der server dadurch an perfomance beeinträchtigt wird.

dann hattest du bis jetzt Glück gehabt, dass du kein sonderlich attraktives Ziel abgibst.

am Anfang hatte ich täglich mehrere mails von meinem sicherheits cgi gekriegt,dass wieder mal eine ip gesperrt wurde und jetzt sind es
im monat 1 mail vielleicht,was für mich heisst,dass mein prinzip sehr wirksam ist.

Gruss vom Alain