Der automatische IP-Block bei fehlgeschlagenen Anmeldeversuchen scheint mir etwas sehr schnell anzuschlagen.
Ich bin gerade bei jemandem zu Gast (via Handy im WLAN aber bereits im Forum eingeloggt, daher kann ich hier sich noch schreiben) und wollte mich dort auf dem PC des Gastgebers schnell ins Forum einloggen (auf dem Handy sind die Anschlussschemen halt relativ mühsam zu lesen). War mir jedoch nicht ganz sicher bezüglich des Passworts (ist beim Handy und zu Hause ja eh im Passwortmanager des Browsers hinterlegt und wird automatisch ausgefüllt) und darum gabs halt ein paar fehlgeschlagene Anmeldeversuche. Mit einem „harten“ IP-Block nach 5 (oder warens gar nur 3?) Fehlversuchen habe ich jedoch echt nicht gerechnet. Also ich finde 3-5 Versuche jetzt keine „hohe Anzahl an fehlgeschlagenen Anmeldeversuchen durch Ihre IP-Adresse“ (wie in der Fehlermeldung zu lesen). Unter hoher Anzahl würde ich jetzt 100+ Versuche verstehen…
Dass dann zusätzlich nicht mal mehr die „Passwort vergessen“-Funktion funktioniert - bzw. falls sie funktionieren würde findet man halt den Link dorthin gar nicht, weil die Login-Maske (wo der Link IIRC steht) auch schon vom Block betroffen ist, ist auch etwas suboptimal.
Hoffe im Übrigen mal, es passiert nie, dass jemand über einen grösseren Proxy (z.B. Zwangsproxy eines Mobilfunkanbieters) mal ein paar (eben so 3 oder 5) Fehleingaben macht, sonst sind dann halt alle User dieses Proxys (bzw. dieses Mobilfunkanbieters) für nen Moment (Wie lange eigentlich?) unabsichtlich geblockt. Das Risiko eines absichtlichen DoS (Angreifer nutzt grossen Proxy und triggert absichtlich den Block) besteht mit der aktuellen Unsetzung natürlich auch.
Ich würde es daher begrüssen, wenn man die IP-Block-Einstellungen etwas weniger „forsch“ einstellen könnte sowie den Passwort-Reset (und danach den Login mit dem neuen Passwort) von IP-Block ausnehmen könnte. Eingeloggte User sind ja dann eh vom Block ausgenommen.
Oder halt den (für mich ehrlich gesagt eher nervigen) Zwangslogin/-registrierung abschaffen, für jegliche Read-Only-Operationen (Beiträge lesen, Bilder/Schemen anschauen, Files downloaden, usw.) abschaffen.
Nur mal so ne Anregung