Evercookie для длительных сессий и предотвращения перехватов
Я внедряю систему регистрации в классе, привязанную к конкретным рабочим столам. К сожалению, все, что у меня есть, — это общедоступный веб-сервер, с которым можно работать, и я не хочу, чтобы учащиеся могли скопировать контрольный URL-адрес и фальсифицировать регистрацию или войти в систему с учетными данными сотрудников и получить доступ к другим инструментам на сайте. Кроме того, компьютеры находятся в сети, где DHCP регулярно переназначает IP-адреса, поэтому закрепление IP-адреса не является надежным методом проверки клиента. Так что я подумал о evercookies, я мог бы, чтобы сотрудник зашел на сайт регистрации с компьютера, установил evercookie, а затем вышел из системы, чтобы предотвратить использование логина lat для доступа к другим инструментам на сайте. Когда сайт регистрации загружен, он проверяет наличие эверквика, и при достижении определенного порога открывается страница регистрации. Это имеет дополнительное преимущество в обход тайм-аутов php / apache.
Или я лаю не на том дереве и есть лучший способ снять отпечатки пальцев у авторизованного клиента?
Решение
Полагаясь на вечеринку, вы открыты для кражи печенья.
В вашем случае кто-то может украсть идентификатор evercookie и использовать его с другого компьютера, заставляя ваше приложение полагать, что оно получает запросы от одного из конкретных рабочих столов, когда это не так. Идентификатор evercookie может быть украден опытным пользователем прямо с машины.
Использование сильного идентификатора cookie, сильного хэша, большого количества энтропии и т. Д. Не поможет в этом случае.
Изменение идентификатора evercookie часто приводит к аннулированию ранее украденных файлов cookie. Однако для этого потребуется, чтобы кто-то вручную вмешивался для периодической регенерации файлов cookie. Это может быть автоматизировано, и обновленные идентификаторы файлов cookie могут быть отправлены на ваш сервер с помощью специального программного обеспечения через безопасное соединение, но это открывает возможность кражи программного обеспечения и его использования на другом компьютере.
Как правило, в зависимости от клиента однозначно идентифицировать себя не является надежным.
Если ваши IP-адреса назначаются через DHCP, но исходят из некоторого предсказуемого набора, вы можете реализовать проверку IP на основе известного диапазона IP-адресов.
Вы можете развернуть пользовательское программное обеспечение на компьютере и «рукопожатие» к нему с сервера. Он может генерировать уникальный идентификатор на основе серийного номера жесткого диска, MAC-адреса и т. Д. Однако ваше пользовательское программное обеспечение может быть украдено и установлено в другом месте искушенным пользователем или перепроектировано.
Другие решения
Других решений пока нет …