Каморка

Может кто сталкивался? Надо идентифицировать компьютер в web-приложении. Приложение для интранет, не интернет, так что есть возможность установить на клиента все что надо. Часть клиентов за файерволами/раутерами, так что ни на IP, ни на MAC надежды нет (или можно как-то транслировать original MAC через раутеры?). Особой секьюрности не надо, это идет как дополнение к username/password.
Cookies? Но как запретить браузеру удалять куки с определенного сервера?
Пока лучшее что я нашел - поставить на клиента JavaScript файл и вызывать его на login page. Но что-то мне не нравиться идея вызывать JavaScript не с сервера приложения.

Any ideas?

StS писал(а):Может кто сталкивался? Надо идентифицировать компьютер в web-приложении. Приложение для интранет, не интернет, так что есть возможность установить на клиента все что надо. Часть клиентов за файерволами/раутерами, так что ни на IP, ни на MAC надежды нет (или можно как-то транслировать original MAC через раутеры?). Особой секьюрности не надо, это идет как дополнение к username/password.
Cookies? Но как запретить браузеру удалять куки с определенного сервера?
Пока лучшее что я нашел - поставить на клиента JavaScript файл и вызывать его на login page. Но что-то мне не нравиться идея вызывать JavaScript не с сервера приложения.

Any ideas?

Изменить User-Agent в registry(IE) или config (FF)?

или плагинчик который бы дописывал что–то в хэдерс для определённого урл. посложнее немного, но зато всем посылаться не будет.

(Alex) писал(а):или плагинчик который бы дописывал что–то в хэдерс для определённого урл. посложнее немного, но зато всем посылаться не будет.

Да лана, там надо положить-то пару-тройку байт, или зашифровать что-нибудь AES-ом

Marmot писал(а):Изменить User-Agent в registry(IE) или config (FF)?

Да, но потом не надо будет менять это при каждом апдейте на каждом клиенте?

StS писал(а):

Marmot писал(а):Изменить User-Agent в registry(IE) или config (FF)?

Да, но потом не надо будет менять это при каждом апдейте на каждом клиенте?

Хмм, вроде как нет, я на 100% не уверен, но можно проверить
В конце-концом можно сделать умный скрипт, которй чекает это дело и прописать его в стартап...

Вот тут кой-чего написано про это: http://msdn.microsoft.com/en-us/library/ms537503.aspx

каждому юзеру выдать свой начальный урл http://my-company/my-app;дядя–вася. Без ${дядя–вася} не пущать...

На самом деле, самый правильный вариант это использовать HTTPS c client authentication.
На каждый комп кладется сертификат с юник ID, и все...
Сертификаты можно сгенерить через OpenSSL...
Именно так я это делал в свое время для BC Government.

(Alex) писал(а):каждому юзеру выдать свой начальный урл http://my-company/my-app;дядя–вася. Без ${дядя–вася} не пущать...

Неплохо. Только проблема в том, что даже если зашифровать, то дядя Вася может скопировать урл у дяди Алекса. Но может в моем случае это не так уж важно.

Еще идеи?

Тема раскрыта идентифицировали клиента со всех сторон.

StS писал(а):

(Alex) писал(а):каждому юзеру выдать свой начальный урл http://my-company/my-app;дядя–вася. Без ${дядя–вася} не пущать...

Неплохо. Только проблема в том, что даже если зашифровать, то дядя Вася может скопировать урл у дяди Алекса. Но может в моем случае это не так уж важно.

Еще идеи?

тогда надо придти к дяде алексу у спросить, какого хрена он дал урл свой личный какому–то дяде васе а вообще всё можно сломать... и ещё дядь васин юзернайм, и пароль должны бы были подойти к алексову урл, чтобы нормально войти. так чта...

(Alex) писал(а):

StS писал(а):

(Alex) писал(а):каждому юзеру выдать свой начальный урл http://my-company/my-app;дядя–вася. Без ${дядя–вася} не пущать...

Неплохо. Только проблема в том, что даже если зашифровать, то дядя Вася может скопировать урл у дяди Алекса. Но может в моем случае это не так уж важно.

Еще идеи?

тогда надо придти к дяде алкесу у спросить какого хрена он дал урл свой личный какому–то дяде васе а вообще всё можно сломать... и ещё дядь васин юзернайм, и пароль должны бы были подойти к моему урл, чтобы нормально войти. так чта...

Я так понимаю, что разные люди могут работать с разных компов и надо идентифицировать именно комп а не юзверя...

Marmot писал(а):На самом деле, самый правильный вариант это использовать HTTPS c client authentication.
На каждый комп кладется сертификат с юник ID, и все...
Сертификаты можно сгенерить через OpenSSL...
Именно так я это делал в свое время для BC Government.

Дай линку где про это доступно почитать можно.

Marmot писал(а):Я так понимаю, что разные люди могут работать с разных компов и надо идентифицировать именно комп а не юзверя...

Да, именно компьютер. Можно прописать на каждом браузере букмарк, но ничто не мешает дяде Васе подсмотреть урл и ввести его напрямую в адресную строку.

StS писал(а):

Marmot писал(а):На самом деле, самый правильный вариант это использовать HTTPS c client authentication.
На каждый комп кладется сертификат с юник ID, и все...
Сертификаты можно сгенерить через OpenSSL...
Именно так я это делал в свое время для BC Government.

Дай линку где про это доступно почитать можно.

Хмм, так что бы все было в одно месте, я не нашел, вот тут кой чего есть, про то как генерить сертификаты и устанавливать их в браузер.
http://www.freebsddiary.org/openssl-cli ... cation.php
На сервер сайде все зависит от того, что вы используете...

И еще, для Томката http://emo.sourceforge.net/cert-login-howto.html