Hallo TS,

Vorsichtig sollte man aber auch damit sein, nicht zu viele Login-Versuche zuzulassen und dies für Benutzeraccounts und IPs (nur auf IPs ist eine schlechte Idee, die Nutzern eines Uni- oder Schul-Netzwerks würden sich sehr darüber freuen 😟) auf eine bestimmte Anzahl von Versuchen zu beschränken.

Abgewiesene Logins sind nicht das Thema, sondern Session-Klau mittels erratener Session-Tokens. Also in PHP gesprochen, einfach nur PHPSESSID senden, was das Teug hält, bis eine passt.

Das habe ich verstanden, wollte nur noch mal allgemein auf betonen, dass IP-Blocken nicht die beste Wahl ist. Aber du hast recht, normale Nutzer senden nicht einfach wild irgendwelche Session-Keys, das hatte ich tatsächlich nicht auf dem Schirm. Aber die Frage ist dennoch, was machen die anderen Nutzer, die am WLAN-Hotspot, Uni-Netzwerk oder sonstwo hocken, wenn sie sich zufällig die IP mit einem Cracker teilen?

Derartige Requestbursts sind bisher nicht abgefangen.

Müsste das nicht eigentlich PHP selbst machen (müssen), weil das ja für die Verwaltung der Sessions zuständig.

Gruß
Julius