Меню
Что нового?

SSL авторизация, привязка к компьютеру

Rammstein

PHPClub::News
SSL авторизация, привязка к компьютеру

Есть такая проблема. К системе очень ограничен доступ. Каждый юзер имеет логин + пароль + SSL сертификат. Сертификат это хорошо, но существует вероятность что сертификат и пароль/логин будут переданы третьему лицу, что крайне не желательно.

Как можно это решить? Привязка по IP достаточно сложный вопрос -- не у всех статичный. Возможно вариант по под-сети... но ещё не понятно. Есть идеи?

P.S> Обрезание по сертификату идёт на уровне mod_ssl
 
StUV

StUV

Rotaredom
Как можно это решить?
Нажмите для раскрытия...
хардварный вариант не рассматривается?
например авторизовать по сканированию отпечатка пальца
ессно, есть вероятность передачи пальца третьему лицу, но это уже... ;) (крайне нежелательно)
 
Wicked

Wicked

Новичок
Дурацкая идея: "брать в заложники" некоторую информацию с юзеров, которая становится доступна при наличии сертификата. Они тогда будут не очень охотно ими делиться :)

Идея получше: можно считать, что смена ip может произойти только за 15 минут непосещения сайта. Таким образом, как минимум отсечется возможность работы с двух компов одновременно. Иначе им придется делать запросы не чаще раза в полчаса, чтобы давать друг другу шанс.
 
Wicked

Wicked

Новичок
StUV
кредитки, порно-фотографии с участием, текст завещания, ... :) на что фантазии хватит :)
 
crocodile2u

crocodile2u

http://vbolshov.org.ru
Rammstein
От дурака нет 100% защиты.

Рекомендую:
1) Привязка к маске IP (можно гибкий механизм - статик привязывается намертво, динамик - по маске, но здесь, очевидно, потребуется указание от пользователей)
2) Отслеживать заходы юзеров с разных адресов и реагировать на это (возможные варианты: сообщение админу; инфа с геоайпи - и блокировать заход из другой страны/города; заблокировать до выяснения обстоятельств)
3) комбинация пп. 1 и 2
 

WP

^_^
Отправлять при входе СМСку с псевдослучайным кодом доступа и просить его ввести)))
 

Alexandre

PHPПенсионер
Сертификат это хорошо, но существует вероятность что сертификат и пароль/логин будут переданы третьему лицу, что крайне не желательно.
Нажмите для раскрытия...
Сертификат, простому пользователю - трудно передать третьему лицу...
хотя как сказали выше - от дураков нет защиты.

В Серитификате всегда прописана организация, и при анализе Сертификата можно всегда проверить, закреплен-ли ай-пи за организацией, для которой выдавался Сертификат.

Остается вопрос - а я со своим рабочим ноутом могу ли иметь доступ из домашней сети?
 
grigori

grigori

( ͡° ͜ʖ ͡°)
Команда форума
Я в финансовой системе сделал так:
* авторизация IP по email ( как в e-gold ... только я сделал это раньше и удобней )
* pin-код для подтверждения транзакций, как на банкомате; набирается мышкой по рисованой keypad и передается md5()
защита от keylog и sniffer-ов

Сертификат - это удобно, но троян может его выцепить.

-~{}~ 06.07.07 17:14:

Ну а привязка сессии к браузеру, недопущение одновременной работы, защита от подборов - это подразумевается.
 
Войдите или зарегистрируйтесь для ответа.
Сверху