Уникальная идентификация определенного компьютера

Question

У меня следующий сценарий, и я не могу найти что-то в сети, или, возможно, я ищу не ту вещь:

Я работаю над системой хранения данных через Интернет. есть разные пользователи и разные места, и только определенным пользователям разрешен доступ к определенным частям системы. теперь мы не хотим, чтобы они подключались к этим частям дома или с другого компьютера, чем тот, который они используют на своем рабочем месте (для этого есть разные причины).

Теперь мой вопрос: если есть способ заставить компьютер на рабочем месте каким-либо образом идентифицировать себя с сервером через браузер, как я могу это сделать? о, да, он должен быть в сети.

Надеюсь, я объяснил это, чтобы все поняли. Спасибо за ваши ответы заранее.

... дг

Answer 1

Я согласен с Lenni ... IP-адрес является возможным решением, если они статичны или DHCP-сервер последовательно назначает один и тот же IP-адрес одной и той же машине.

В качестве альтернативы, вы также можете рассмотреть аутентификацию через «личные сертификаты» ... это то, на что они ссылаются в Firefox, не знаю, стандартное это имя или нет. (Очевидно, я не работал с ними раньше.)

В основном это сертификаты SSL или PKI, установленные на клиентском (пользовательском) компьютере, которые идентифицируют этот компьютер как тот компьютер, на котором он говорит, что он есть, то есть если пользователь пытается подключиться с машина, у которой нет сертификата или у вас нет сертификата, который вы разрешаете, вы бы отказали им.

Я не знаю проблем, связанных с этим ... 1009 * может относительно легко для одного и того же пользователя снять сертификат с одного компьютера и установить его на другом с правильным паролем (т.е. аутентифицирует пользователя ), или он может быть каким-либо образом привязан к этой машине (то есть он аутентифицирует машину ). И быстрый поиск в Google не дал никаких очевидных инструкций о том, как все это работает, но, возможно, стоит посмотреть.

--- Лоуренс

Answer 2

Есть только несколько РЕАЛЬНЫХ решений для этого. Вот пара:

1. Используйте проверку подлинности домена и запретите пользователям, которые подключаются через VPN.
2. Используйте известные диапазоны IP-адресов, чтобы разрешить или запретить доступ.

Answer 3

Поскольку вы работаете в Интернете, вы можете:

Проверьте IP-адрес удаленного хоста (сравните его с известными внутренними подсетями и т. Д.)

В процессе аутентификации вы можете пропинговать удаленный IP-адрес и посмотреть TTL на возвращенных пакетах, если он слишком низкий, то компьютер не может быть из локальной сети. (конечно, это может быть сломано, но это всего лишь 1 вещь)

Если вы делаете это через IIS, то вы можете интегрироваться в SSO (вероятно, лучше всего, если вы можете это сделать)

Answer 4

Если предполагается, что он основан на сети (и я имею в виду, что веб-сервер должен иметь возможность уникально идентифицировать машину пользователя), то ваш выбор ограничен: по сути, вы ничего не можете получить из заголовков браузера. или запросить тело, которое позволяет идентифицировать машину. Я полагаю, что это из-за очевидных последствий для конфиденциальности.

Тем не менее, есть варианты, ни один из которых безболезнен: вы можете использовать элемент управления ActiveX, который, однако, работает только в Windows (и не во всех браузерах, я думаю) и требует повышенных привилегий. Вы можете подумать о плагине Firefox (очевидно, только Firefox). В любом случае браузер с простым ванилью в противном случае избежит идентификации.

Answer 5

IP-адрес. Не взрывобезопасная безопасность, а начало.