Идентификация клиента

[StS]

Marmot, спасибо, мы как раз Томкат используем.
(Alex), спасибо, вариант с урлом самый простой будет.

Пойду разбираться со всем этим.

[папа Карло]

Может кто сталкивался? Надо идентифицировать компьютер в web-приложении. Приложение для интранет, не интернет, так что есть возможность установить на клиента все что надо. Часть клиентов за файерволами/раутерами, так что ни на IP, ни на MAC надежды нет (или можно как-то транслировать original MAC через раутеры?). Особой секьюрности не надо, это идет как дополнение к username/password.
Cookies? Но как запретить браузеру удалять куки с определенного сервера?
Пока лучшее что я нашел - поставить на клиента JavaScript файл и вызывать его на login page. Но что-то мне не нравиться идея вызывать JavaScript не с сервера приложения.

Any ideas?

хммм.... в интранете обычно все в доменесидят и юзернеймы есть.... опятьже интранет сайт наружу не виден, такчто все пучком.

[Marmot]

хммм.... в интранете обычно все в доменесидят и юзернеймы есть.... опятьже интранет сайт наружу не виден, такчто все пучком.

Хмм, а что такое домен в данном контексте?

[sobomax]

каждому юзеру выдать свой начальный урл http://my-company/my-app;дядя–вася. Без ${дядя–вася} не пущать...

Неплохо. Только проблема в том, что даже если зашифровать, то дядя Вася может скопировать урл у дяди Алекса. Но может в моем случае это не так уж важно.

Еще идеи?

тогда надо придти к дяде алкесу у спросить какого хрена он дал урл свой личный какому–то дяде васе а вообще всё можно сломать... и ещё дядь васин юзернайм, и пароль должны бы были подойти к моему урл, чтобы нормально войти. так чта...

Я так понимаю, что разные люди могут работать с разных компов и надо идентифицировать именно комп а не юзверя...

Ничто не мешает дяде васе переписать сертификат с контупера дяди коли. В общем давно известно что сломать можно любую защиту, вопрос лиш в том какие убытки если сломают по сравнению с затратами на разработку/поддержку защиты (должен быть баланс).

Соответвенно вопрос не полный - совершенно непонятно какие требовани к "непробиваемости" метода аутентификации предьявляются.

-Maxim

[Marmot]

Ничто не мешает дяде васе переписать сертификат с контупера дяди коли.

А для этого существуют криптографические токены с неизвлекаемыми ключами
Ну если попростому, то даже многие админы не слишком информированы о PKI и certificate management... так что, для дяди васи сойдет...

В общем давно известно что сломать можно любую защиту, вопрос лиш в том какие убытки если сломают по сравнению с затратами на разработку/поддержку защиты (должен быть баланс).

Соответвенно вопрос не полный - совершенно непонятно какие требовани к "непробиваемости" метода аутентификации предьявляются.

Вопрос полный:

...Особой секьюрности не надо...

[Аман Ванкуверский]

Мармот, как всегда, подходит к задаче с точки зрения правильного дизайна. Голосую +1 за клиентские сертификаты.

[ura]

Тоже согласен с клиентскими сертификатами, на каждый компьютер свой. Сертификат может быть защищен паролем, так что установить его на другой компьютер без Вашего ведома не удастся.

[sobomax]

Тоже согласен с клиентскими сертификатами, на каждый компьютер свой. Сертификат может быть защищен паролем, так что установить его на другой компьютер без Вашего ведома не удастся.

Непонятно кто защитит пароль. Security through obscurity?

-Maxim

[sobomax]

Вопрос полный:

...Особой секьюрности не надо...

А ну тогда линка в букмарках с параметром (&foo=bar) тоже вполне сойдет. На сервере можно сразу редирект вызвать после получения запроса и создания сессии, чтобы она в строке URL не отсвечивал. Дешево и сердито. Сертификат IMHO overkill череватый ненужным гемороем.

-Maxim

[Marmot]

Сертификат IMHO overkill череватый ненужным гемороем.

Это overkill и геморрой только ввиду отсутствия понимания и инфраструктуры.
В тоже время это единственный, на сегодняшний день, "правильный" способ решения проблемы.

Ежели умеючи, то там работы, максимум, на полдня...
Если человек без опыта, но не дурак и умеет читать доки, то дня на полтора

[sobomax]

Сертификат IMHO overkill череватый ненужным гемороем.

Это overkill и геморрой только ввиду отсутствия понимания и инфраструктуры.
В тоже время это единственный, на сегодняшний день, "правильный" способ решения проблемы.

Правильный, неправильный фигня это все.

"Правильный" способ это любой способ который удовлетворяет начальным условиям задачи. А удовлетворяют оба. Соответвенно выбор между ними лиш по критериям геморойности/затрат времени для админа, что включает в себя не только время на собственно настройку но и время на изучения, а также передачу знаний сделующему админу по цепочке.

-Maxim
ПыСы а вообще если это интранет то лучше всего прибить клиентов static DHCP и идентифицировать по IP, ну или как более продвинутый способ - резолвить IP в MAC тогда даже прибивать не надо.

[Аман Ванкуверский]

"Правильный" способ это любой способ который удовлетворяет начальным условиям задачи. А удовлетворяют оба. Соответвенно выбор между ними лиш по критериям геморойности/затрат времени для админа, что включает в себя не только время на собственно настройку но и время на изучения, а также передачу знаний сделующему админу по цепочке.

Макс, есть такая хорошая поговорка: "Дальше положишь - ближе возьмешь"

"&foo=bar" с отлавливанием нарушителей и стучанием в бубен, на мой взгляд, вообще не является способом идентификации.
тем более, что по условиям дядя Вася за другим компом должен набирать уже "&foo=baz"

ПыСы а вообще если это интранет то лучше всего прибить клиентов static DHCP и идентифицировать по IP, ну или как более продвинутый способ - резолвить IP в MAC тогда даже прибивать не надо.

Часть клиентов за файерволами/раутерами, так что ни на IP, ни на MAC надежды нет

[Аман Ванкуверский]

дубль

[(Alex)]

Клиентские сертификаты – хорошее решение, про администрирование надо думать если это будет "твоей" заботой. А если чужая забота, то прописать в сопроводиловке и всё. (по идее )

[sobomax]

Макс, есть такая хорошая поговорка: "Дальше положишь - ближе возьмешь"

"&foo=bar" с отлавливанием нарушителей и стучанием в бубен, на мой взгляд, вообще не является способом идентификации.
тем более, что по условиям дядя Вася за другим компом должен набирать уже "&foo=baz"

Предложено было не просто "&foo=bar" а "&foo=bar"+bookmark+server-side regirect to hide "&foo=bar". Так что дядя вася не будет "&foo=bar" видеть вовсе и ему будет сказано что "тырцни вот сюда в букмарку и будет тебе щастье".

-Maxim