Also hab mir mal gedanken gemacht über Bruteforce knacken eines logins - also macht es einen sinn ein sleep(5) - also server wartet 5 sekunden - bei falschem login verusch - theoretisch wären das ja "nur" max. 17.280 loginversuche pro tag? Oder kann das ein gschickter internet mensch umgehen (also halt nehmen wir an er sitzt nich am server selbst)?
Also es geht nicht um das schützen von bankdaten, sondern nur um eine überlegung.
nein, wenn der server mehrere request gleichzeitig handlen kann hilft das ja nichts. während der eine wartet schickt der brute-force hacker einfach schon den nächsten request.
besser wärs wenn du zb sowas wie "nach 3 falschen versuchen 10 minuten sperre" machst
Aber wie und was sperren - die IP auf Session basis? Oder gibts da ne sinnvollere methode?
naja, die ip is etwas heikel (proxies und so, da sperrst du zu viel)
aber du hast ja sicher einen login mit usernamen und passwort? da sperrst du einfach den usernamen
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
