Hallo opi,

Deshalb halte ich einen Delay von einer Sekunde garnicht so schlecht! In wenigen Jahren vielleicht sogar zwei Sekunden, wenn die Rechner wieder etwas schneller sind :)

Um noch sicherer zu gehen könntest du in PHP eine zusätzliche Sicherheit einprogrammieren. Wenn der Passwortversuch startet, erstellst du eine bestimmte Datei stellvertretend für diesen Benutzer, am Besten [optional] mit dem aktuellen Timestamp als Inhalt. Nach einer Wartezeit von 1-2 Sekunden und der eigentlichen Überprüfung löschst du diese wieder.
Zu Beginn dieses Skripts wird am Anfang abgefragt, ob die Datei existiert, und wenn sie existiert, so wird ein Fehler ausgegeben - schließlich kann der gleiche Benutzer nicht zur selben Zeit das Passwort zweimal eingeben, oder es ist ein Roboter... ;-)

Ich denke dass man so doch einen ganz wirksamen Schutz erstellen kann.
Zur Sicherheit sollte man hier mit flock() arbeiten, und die Sache mit dem Timestamp ist insofern sinnvoll, da es seltene Fälle geben kann (!) in der die Datei anschließend nicht gelöscht wird (auf Grund von irgendwelchen Fehlern etc.).

Bis dann!

Marc Reichelt || http://www.marcreichelt.de/