Каморка

StS писал(а):Может кто сталкивался? Надо идентифицировать компьютер в web-приложении. Приложение для интранет, не интернет, так что есть возможность установить на клиента все что надо. Часть клиентов за файерволами/раутерами, так что ни на IP, ни на MAC надежды нет (или можно как-то транслировать original MAC через раутеры?). Особой секьюрности не надо, это идет как дополнение к username/password.
Cookies? Но как запретить браузеру удалять куки с определенного сервера?
Пока лучшее что я нашел - поставить на клиента JavaScript файл и вызывать его на login page. Но что-то мне не нравиться идея вызывать JavaScript не с сервера приложения.

Any ideas?

папа Карло писал(а): хммм.... в интранете обычно все в доменесидят и юзернеймы есть.... опятьже интранет сайт наружу не виден, такчто все пучком.

Marmot писал(а):

(Alex) писал(а):

StS писал(а):

(Alex) писал(а):каждому юзеру выдать свой начальный урл http://my-company/my-app;дядя–вася. Без ${дядя–вася} не пущать...

Неплохо. Только проблема в том, что даже если зашифровать, то дядя Вася может скопировать урл у дяди Алекса. Но может в моем случае это не так уж важно.

Еще идеи?

тогда надо придти к дяде алкесу у спросить какого хрена он дал урл свой личный какому–то дяде васе а вообще всё можно сломать... и ещё дядь васин юзернайм, и пароль должны бы были подойти к моему урл, чтобы нормально войти. так чта...

Я так понимаю, что разные люди могут работать с разных компов и надо идентифицировать именно комп а не юзверя...

sobomax писал(а): Ничто не мешает дяде васе переписать сертификат с контупера дяди коли.

sobomax писал(а): В общем давно известно что сломать можно любую защиту, вопрос лиш в том какие убытки если сломают по сравнению с затратами на разработку/поддержку защиты (должен быть баланс).

Соответвенно вопрос не полный - совершенно непонятно какие требовани к "непробиваемости" метода аутентификации предьявляются.

...Особой секьюрности не надо...

ura писал(а):Тоже согласен с клиентскими сертификатами, на каждый компьютер свой. Сертификат может быть защищен паролем, так что установить его на другой компьютер без Вашего ведома не удастся.

Marmot писал(а):Вопрос полный:

...Особой секьюрности не надо...

sobomax писал(а):Сертификат IMHO overkill череватый ненужным гемороем.

Marmot писал(а):

sobomax писал(а):Сертификат IMHO overkill череватый ненужным гемороем.

Это overkill и геморрой только ввиду отсутствия понимания и инфраструктуры.
В тоже время это единственный, на сегодняшний день, "правильный" способ решения проблемы.

sobomax писал(а): "Правильный" способ это любой способ который удовлетворяет начальным условиям задачи. А удовлетворяют оба. Соответвенно выбор между ними лиш по критериям геморойности/затрат времени для админа, что включает в себя не только время на собственно настройку но и время на изучения, а также передачу знаний сделующему админу по цепочке.

sobomax писал(а): ПыСы а вообще если это интранет то лучше всего прибить клиентов static DHCP и идентифицировать по IP, ну или как более продвинутый способ - резолвить IP в MAC тогда даже прибивать не надо.

StS писал(а):Часть клиентов за файерволами/раутерами, так что ни на IP, ни на MAC надежды нет

Аман Ванкуверский писал(а):Макс, есть такая хорошая поговорка: "Дальше положишь - ближе возьмешь"

"&foo=bar" с отлавливанием нарушителей и стучанием в бубен, на мой взгляд, вообще не является способом идентификации.
тем более, что по условиям дядя Вася за другим компом должен набирать уже "&foo=baz"