| 

.NET C# Java Javascript Exception

1
Ich habe eine ASP.NET-Webseite, die nur für bestimmte Clients zugänglich sein soll (ohne Passwort oder so). Wie erkenne ich den Client zuverlässig? MAC, IP, Clientzertifikat, Cookie, … lässt sich alles fälschen. Geht das überhaupt?
News:
21.05.2011
Dodi 11 2
2 Antworten
0
Wir haben dafür ein eingenes ActiveX-Plugin geschrieben was eine Hardwarekennung bildet und diese noch vorm Login an den Server schickt. Natürlich kann man das Konzept ausbauen und es als NAPI-Plugin für Firefox und Chrome ausbauen.

Theoretisch (und praktisch ;)) kannst du einen Client eindeutig identifizieren wenn du alle verfügbaren Informationen kombinierst.

1. MAC
2. Cookie erstellen und immer wieder auslesen
3. Storage-API > ID ablegen und immer wieder auslesen
4. Installierte Fonts ermitteln (ändert sich in der Regel fast nie)
5. Installierte Plugins ermitteln (ändert sich auch in der Regel nie)
6. Useragent auslesen und vergleichen
... und so weiter

Siehe hierzu den Artikel: FINGERABDRUCK - Fast jeder Browser ist eindeutig zu identifizieren und Test: How Unique, and Trackable, Is Your Browser?

Eine dritte und die beste alternative wäre, ein VPN-Netzwerk einzurichten und die User über die Windows-Authentication automatisch an der Webseite anzumelden.
21.05.2011
Floyd 14,6k 3 9
0
Also der Weg, der genau dafür gedacht ist, ist grundsätzlich schon ein Cookie. Von daher ist das erst einmal ein zu verfolgender Weg. Cookies haben natürlich ihre Schwachstellen in bestimmten Szenarien. Welche das bei dir genau sind, hängen wirklich vom konkreten Szenario ab.

Wenn es in deiner Frage vielleicht nur darum geht, die Anwendung bestimmten Usern im Intranet zugänglich zu machen, könntest du auch die Zugangsberechtigung an die Windows-Authentifizierung und somit an die Domänenanmeldung koppeln. Oder du setzt ein etabliertes Single-Sing-On-Tool ein, das ja auch genau die Aufgabe hat, einen Anwender auf sichere Art und Weise eine Anwendung benutzen zu lassen, ohne sich immer wieder neu anmelden zu müssen.

Stichworte: Authentifizierung und Autorisierung, beides muss ja irgendwo stattfinden. Und für beides gibt es mannigfaltige Möglichkeiten, Techniken und Tools.

Ergo: Du müsstest für eine konkretere Antwort das konkrete Einsatzszanrio etwas ausführlicher beschreiben. Ansonsten spricht aus allgemeiner Sicht erst einmal nichts gegen ein einfaches Cookie.
22.05.2011
Achso 340 1 6

Stelle deine .net-Frage jetzt!