0

特定のデスクトップに関連付けられた教室のチェックイン システムを実装しています。残念ながら、私が持っているのは、作業する公開 Web サーバーだけであり、学生がチェック URL をコピーしてチェックインを偽造したり、スタッフの資格情報でログインしたり、サイト上の他のツールにアクセスしたりしたくありません。また、コンピューターは DHCP が定期的に IP を再割り当てするネットワーク上にあるため、IP のピン留めはクライアント検証の信頼できる方法ではありません。だから私はevercookiesを考えていました。スタッフメンバーがコンピューターからチェックインWebサイトにログインし、evercookieを設定してからログアウトし、Webサイト上の他のツールにアクセスするためのlat loginの使用を防ぐことができました. チェックイン サイトが読み込まれると、evercookie のチェックが行われ、特定のしきい値が満たされている限り、チェックイン ページが表示されます。これには、php/apache をバイパスするという追加の利点があります。

または、間違ったツリーを吠えているので、承認されたクライアントを特定するより良い方法はありますか?

4

1 に答える 1

0

evercookie に依存すると、cookie のハイジャックにさらされる可能性があります。

あなたの場合、誰かが evercookie id を盗み、別のマシンからそれを使用して、アプリケーションが特定のデスクトップの 1 つからリクエストを受け取っていないときに、リクエストを受け取っていると信じ込ませる可能性があります。evercookie ID は、高度なユーザーによってマシンから直接盗まれる可能性があります。

この場合、強力な Cookie ID、強力なハッシュ、大量のエントロピーなどを使用しても役に立ちません。

evercookie 識別子を変更すると、以前に盗まれた Cookie が無効になることがよくあります。ただし、これには、Cookie を定期的に再生成するために誰かが手動で介入する必要があります。これは自動化でき、更新された Cookie ID は、安全な接続を介してカスタム ソフトウェアを使用してサーバーにプッシュできますが、ソフトウェアが盗まれて別のマシンで使用される可能性があります。

経験則として、クライアントがそれ自体を一意に識別することに依存することは信頼できません。

IP アドレスが DHCP 経由で割り当てられているが、予測可能なセットから取得されている場合は、既知の範囲の IP に基づいて IP チェックを実装できます。

カスタム ソフトウェアをマシンに展開し、サーバーから「ハンドシェイク」することができます。ハード ドライブのシリアル番号や MAC アドレスなどに基づいて一意の ID を生成する可能性があります。ただし、カスタム ソフトウェアが盗まれて、熟練したユーザーによって別の場所にインストールされたり、リバース エンジニアリングされたりする可能性があります。

于 2015-04-20T18:12:38.243 に答える