多くの銀行や投資の Web サイトでは、追加の質問に回答したりマシンをアクティブにしたりしない限り、認識されていないコンピューターからユーザーがログインすることを防止しています。開発者は通常、この機能をどのように作成しますか?
たとえば、認識されていないマシンから自分のアカウントに接続したときに Salesforce.com が表示するメッセージは次のとおりです。
私たちはアプリケーションの 1 つから同じタイプのことをしようとしていますが、最善の (そして最も安全な) アプローチについて確信が持てません。
これを行うには多くの可能なアプローチがありますが、通常は次のいくつかの組み合わせを使用しています。
既存の信頼できる接続の 1 つとの相違点が多すぎる場合、そのマシンは信頼できないと見なされます。「多すぎる」の線引きは、セキュリティと利便性のトレードオフです。
真に安全なアプローチはありません.IPアドレスに基づいて実行できますが、それは多くの場合動的です.Cookieで実行できますが、安全とはほど遠い.MACアドレスで実行できますが、使用する必要がありますJava (IIRC) を使用してアクセスしますが、これもなりすましの可能性があります...
接続元のコンピューターが以前に接続したことがあるかどうかを確認する実際の方法はありません。おそらくそれを行うための「ハック」を見つけることができますが、決して安全ではありません.
ユーザーのマシンに Cookie を設定し、後でその Cookie が存在し、適切な値が含まれているかどうかを確認できます。Cookie が存在しない場合、このコンピューターは新しいものであり、それ以外の場合、このコンピューターは以前に存在していたことを示します。
Cookie の値は、IP アドレス、ユーザー エージェントなど、さまざまな属性を持つランダムなハッシュにすることができます。
最も安全なアプローチは、間違いなくクライアント証明書を発行し、接続時にサーバーに証明書をチェックさせることです (必ず失効リストを使用してください!)。これにはかなりの管理オーバーヘッドがありますが、機能します。
Electronic Frontier Foundation (EFF) は、Cookie が無効になっている場合や別の IP/プロバイダーから接続している場合でも、驚くほど簡単にブラウザーを識別できることを示すデモ Web サイトをセットアップしました。
彼らはの組み合わせを使用します
ただし、一般的なシナリオ (およびおそらくサンプル アプリケーションで使用されるシナリオ) では、Cookie をローカルに保存し、この Cookie を介して戻ってきたユーザーを識別します。
トップサイトのほとんどは、Flash Cookie を使用してユニークビジターを追跡しています。Flash Cookie は通常のブラウザー Cookie に似ていますが、ユーザーがブラウザーを切り替えたり、ブラウザーの履歴を消去したりしても消去されません。
もう一度お読みください。履歴を消去したり、ブラウザを切り替えたり、Chrome の「シークレット」モードを使用したりしても、Flash Cookie は引き続きあなたが誰であるかを記憶します。これらは、ブラウザーではなく Flash のインストールに関連付けられています。
Wired には、それらに関する記事があります: http://www.wired.com/epicenter/2009/08/you-deleted-your-cookies-think-again/
Wired は Flash Cookie について警告していますが、彼ら自身は Flash Cookie を使用して訪問者を追跡しています。図に行きます。
Flash 内では、これらは「SharedObjects」と呼ばれます。それらの使用方法の詳細については、こちらを参照してください: Flash 内の Cookie にアクセスするにはどうすればよいですか?