C'est vrai que c'est dingue que des appli web soient encore sensibles aux attaques brute-force: c'est tellement facile de s'en protéger: sleep, captcha ou le petit système que j'ai mis en place dans Shaarli: 3 fonctions (ban_loginFailed/ban_loginOk/ban_canLogin). 4 erreur de login et l'IP est bannie pour 30 minutes. C'est simple à programme et je ne comprend pas que ça ne soit pas plus répandu.