Однозначная идентификация определенного компьютера

Question

я следующий сценарий и не могу найти что-либо в сети, или, может быть, я ищу ту вещь:

Я работаю на webbased системы хранения данных. существуют разные пользователи и разные места, и только определенным пользователям разрешен доступ к некоторым частям системы. теперь мы не хотим, чтобы они подключались к этим частям дома или с помощью другого компьютера, чем они используют на своем рабочем месте (для этого есть разные причины).

теперь мой вопрос: если есть способ заставить рабочее место-ПК идентифицировать себя на сервере каким-то образом над браузером, как я могу это сделать? ой и да, предполагается, что он будет веб-сайтом.

Надеюсь, я объяснил это так, чтобы все понимали. thnx за ваши ответы заранее.

... dg

Answer 1

Я согласен с Lenni ... IP-адрес - это возможное решение, если оно статично, или DHCP-сервер последовательно назначает один и тот же IP-адрес той же машине.

В качестве альтернативы вы также можете рассмотреть возможность аутентификации через «персональные сертификаты» ... это то, о чем они упоминаются в Firefox, не знаю, это стандартное имя или нет. (Очевидно, я не работал с ними раньше.)

В основном это сертификаты SSL или PKI, установленные на клиентской (пользовательской) машине, которые идентифицируют , что машина является машиной, о которой говорит, что это - то есть, если пользователь пытается подключиться к машине который не имеет сертификата или не имеет сертификата, который вы разрешаете, вы откажете им.

Я не знаю, проблемы вокруг этого ... это может быть относительно легки для того же сам пользователь принять сертификат от одного компьютера и установить его на другом с правильным паролем (т.е. он проверяет подлинность пользователь), или он может быть определен специально для этой машины (т.е. он аутентифицирует машину ). И быстрый поиск в Google не выявил каких-либо очевидных «как» инструкций о том, как все это работает, но, возможно, стоит изучить их.

--- Лоуренс

Answer 2

IP-адрес. Не защита от взлома, а начало.

Answer 3

Поскольку вы собираетесь веб-основе Вы можете:

Проверьте IP-адрес удаленного хоста (сравните его с известными внутренними подсетями и т.д.)

В процессе аутентификации, вы можете пинговать удаленный IP и взгляните на TTL на возвращенные пакеты, если он слишком низок, тогда компьютер не может быть из локальной сети. (Конечно, это может быть нарушена, но это только одна более вещь)

Если вы делаете это через IIS, то вы можете интегрировать в систему единого входа (возможно, лучше всего, если вы можете это сделать)

Answer 4

Если это Предполагается, что это веб-интерфейс (и я имею в виду, что веб-сервер должен иметь возможность однозначно идентифицировать машину пользователя), тогда вы выбираете ограничения: по сути, вы ничего не можете получить из заголовков браузера или тела запроса, что позволяет вы должны идентифицировать машину. Я полагаю, что это по дизайну из-за очевидных последствий для конфиденциальности.

Есть выбор, хотя ни один из которых без боли: вы можете использовать элемент управления ActiveX, который, однако, работает только в Windows (а не во всех браузерах, я думаю) и требует повышенных привилегий. Вы могли бы подумать о подключаемом модуле Firefox (очевидно, только о Firefox). Во всяком случае, браузер с простой ванилью в противном случае избежит идентификации.

Answer 5

Есть только несколько РЕАЛЬНЫХ решений. Вот пара:

1. Использовать аутентификацию домена и запретить пользователям, которые подключаются через VPN.
2. Используйте известные диапазоны IP, чтобы разрешить или запретить доступ.