Le brute force tombe à l'eau si chaque test de mot de passe est entrecoupé de 20 minutes voir plus de "bannissement" de connexion. Il faudra beaucoup trop de temps (plusieurs années) pour tester un nombre important de mot de passe.
Ta détection et ton blocage peuvent se faire de manières différentes j'imagine, le log dans une table à chaque connexion erronée est suffisant à mon goût. Tu peux imaginer une règle plus en amont si l'activité d'un IP est vraiment trop suspecte tu peux la bannir au niveau du serveur HTTP directement...mais ca me parait difficile à automatiser.
Par contre je ne redirigerai pas vers une page de mon site mais vers un site extérieur, ou un site inexistant pour éviter de charger le serveur HTTP d'une autre requête. Le bannissement peut être utilisé également pour d'autres usages que la connexion. Cela peut être effectué sur une règle de tant de connexions HTTP par secondes/minutes...
Ta détection et ton blocage peuvent se faire de manières différentes j'imagine, le log dans une table à chaque connexion erronée est suffisant à mon goût. Tu peux imaginer une règle plus en amont si l'activité d'un IP est vraiment trop suspecte tu peux la bannir au niveau du serveur HTTP directement...mais ca me parait difficile à automatiser.
Par contre je ne redirigerai pas vers une page de mon site mais vers un site extérieur, ou un site inexistant pour éviter de charger le serveur HTTP d'une autre requête. Le bannissement peut être utilisé également pour d'autres usages que la connexion. Cela peut être effectué sur une règle de tant de connexions HTTP par secondes/minutes...
BA-17 : 17 years before apocalypse !, le jeu dans l'univers du défunt wargame AT-43