Hey Chris!

Wenn ich wo "angreifen" wollte, dann wuerde ich als erstes dafuer sorgen, den "erwarteten" Referrer mitzusenden - eben, um solche Pseudo-Sperren zu umgehen.

Es schadet aber auch nicht, oder?

Zusätzlich wird bei 3 Fehlversuchen  innerhalb 15 Minuten die IP-Adresse für 60 Minuten gesperrt.

Holsch' mir halt 'ne neue.

Da hast du allerdings nicht ganz unrecht. Liegt aber wohl auch daran, dass ich den Satz nur halb geschrieben habe ;-) Ich sperre die IP-Adresse UND den Benutzernamen. Damit umschiffe ich Brute-Force-Angriffe recht gut.
Die Kennwörter werden automatisch generiert (Zahlen, Buchstaben (groß und klein) sowie einige Sonderzeichen, 8-11stellig).
Desweiteren bekommt der Benutzer keine Nachricht darüber, dass er gesperrt wurde. Es gibt immer, egal ob der Benutzername bzw. das Kennwort falsch sind bzw. das Konto / die IP-Adresse gesperrt ist nur die Nachricht "Anmeldeinformationen können nicht validiert werden. Bitte wenden sie sich an ..."

Client und Server handeln die sichere Verbindung aus, noch bevor GET ins Spiel kommt.

Na, dann lag ich doch relativ richtig! Damit ist meine eigentliche Kennwortübergabe ja schier :-)

Vielen Dank - auch für die Hinweise bezüglich der Rahmenbedingungen!
Ich werde mir auf jeden Fall nochmal Gedanken über die Referer etc. machen.

Gruß
Matthias