5000 адресов переберутся за 1.5 часа – ну и черт с ними, через определенные промежутки времени пройдет “сборщик мусора” и зачистит все лишние файлы – папка для временной аутентификации будет чиста. Зато никаких дополнительных “долгоиграющих” кук и прочих заморочек с записью в файл пользователя, всевозможных инкрементов в них.

Что спорить, каждый пишет (скрипты) как хочет. И говорить, что у кого-то единственно правильное решение – не дальновидно. Надо пытаться комбинировать.

Микроскопическое количество времени на это уйдёт. Вообще говоря, написав про “одновременные 5000 ip” я не имел в виду, что сразу со всех ип придёт запрос. Это уже будет дос, а я всё-же писал про брутфорс. Я имел в виду, что атака пойдёт с использованием пула ип-адресов, скажем по 1 запросу в секунду, 5000 адресов переберутся за 1.5 часа. Но даже если бы 5000 запросов пришли на сервер одновременно, при условии что они не забили канал связи, не уронили сервер из-за того что кончилась память, не были отсечены ограничениями в конфигах (всё это реальные проблемы, но ДРУГИЕ проблемы), то сама по себе запись в файл прошла бы без вопросов и заняла на обычном сервере пару-тройку секунд, если же используется виртуальный диск то какую-то малую долю секунды.

Не каждый может себе позволить держать “за яйца” хостера, поэтому и приходится прибегать к оптимизациям, что очень часто сказывается на конечных пользователях.

Я не специально, честное слово – я этот блог никого не заставляю читать насильно.

> Хорошо, в вашей схеме скрипт повесит всю аунтификацию

Не повесит.

> установив очередь (если вы ее предусмотрите) на запись

Во-первых, очередь вы сами придумали, я про неё ни слова не написал, потому что она в данном случае не нужна. Во-вторых, если бы даже она была, никаких проблем нет записать 5000 раз подряд 20 байт в 1 файл.

> в один единственный файл посетителя

Вы невнимательно прочитали – 1 файл для каждого аккаунта, а не 1 на всех посетителей или 1 на посетителя.

> НИКАКОЙ пользователь в этот момент не сможет аутентифицироваться

ВСЕ пользователи смогут аутентифицироваться нормально, включая атакованного.

> Пара таких брутфорсов и хостер попросит вас съехать или переписать скрипты.

Хостер который попросил бы меня переписать скрипты очень горько бы об этом пожалел, поскольку я имею привычку давать негативные отзывы на плохих хостеров на профильных сайтах. А хостер который роется в пользовательских скриптах, без сомнения плохой и я бы сам моментально от такого съехал.

> Боитесь брутфорса – должны использовать защиту конкретно от него.

Во-первых, я не писал что я чего-то боюсь, во-вторых, мной описана именно зашита от брутфорса.

> Самый жесткий вариант – блокирование ip, лояльный – капча.

По второму разу пускаться в объяснения у меня нет никакого желания. Перечитайте мои комментарии выше, ни то ни другое не является защитой от брутфорса.

5000 ip адресов? Хорошо, в вашей схеме скрипт повесит всю аунтификацию, установив очередь (если вы ее предусмотрите) на запись в один единственный файл посетителя, и НИКАКОЙ пользователь в этот момент не сможет аутентифицироваться! Пара таких брутфорсов и хостер попросит вас съехать или переписать скрипты.

Боитесь брутфорса – должны использовать защиту конкретно от него. Самый жесткий вариант – блокирование ip, лояльный – капча.