Pagina 1 di 2 1 2 ultimoultimo
Visualizzazione dei risultati da 1 a 10 su 14
  1. #1

    Identificare unicamente un dispositivo

    Ciao a tutti, ho bisogno di un consiglio. Ho un'idea in testa ma non so quale potrebbe essere il modo migliore per gestirla.

    Ho bisogno di controllare e limitare eventualmente i dispositivi che accedono alla mia applicazione web.
    L'utente che si autentica nell'area riservata deve poter accedere al massimo da x dispositivi e devo poterli riconoscere.

    Ovviamente l'IP è scartato in quanto può cambiare
    E anche il MAC address può essere manipolato (es. se io ho una sottorete tutti i dispositivi che escono hanno lo stess MAC Address)
    Avevo pensato anche ad installare dei cookie ma questi possono in realtà essere rimossi

    Idee? Suggerimenti?

  2. #2
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,445
    Penso non sia possibile per una web app, qualsiasi soluzione è manipolabile dall'utente.
    Potresti pensare di usare contemporaneamente tutti i sistemi che hai elencato e sperare che l'utente malizioso non pensi a tutte queste possibilità, ma chiaramente non è una soluzione affidabile.

  3. #3
    Quote Originariamente inviata da sally3000 Visualizza il messaggio
    Ho bisogno di controllare e limitare eventualmente i dispositivi che accedono alla mia applicazione web.
    L'utente che si autentica nell'area riservata deve poter accedere al massimo da x dispositivi e devo poterli riconoscere.
    L'obiettivo quale è?
    Limitare il numero dei dispositivi da cui è possibile effettuare l'accesso, oppure è permettere l'accesso solo da alcuni dispositivi (es: solo 2 dispositivi e sempre e comunque quei 2 dispositivi)?
    aquatimer2000

  4. #4
    Quote Originariamente inviata da aquatimer2000 Visualizza il messaggio
    L'obiettivo quale è?
    Limitare il numero dei dispositivi da cui è possibile effettuare l'accesso, oppure è permettere l'accesso solo da alcuni dispositivi (es: solo 2 dispositivi e sempre e comunque quei 2 dispositivi)?
    L'obiettivo è limitare a SOLO quei dispositivi non è un discorso di contemporaneità. Se io l'ho dato a te non è che poi puoi cedere le credenziali anche a terzi.

    Mi veniva in mente la soluzione per esempio che usava (non so se lo fa ancora) l'app skygo che consentiva di "registrare" due dispositivi e se non erano quei dispositivi tu non potevi accedere al servizio. Potevi eventualmente disattivarne uno ma poi per 30 giorni se ne riattivavi un'altro non potevi rimuoverlo nuovamente. Mi chiedevo che tipo di strategia utilizzano visto che poi nell'area utente potevi anche gestirli questi dispositivi.

  5. #5
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,445
    Quote Originariamente inviata da sally3000 Visualizza il messaggio
    L'obiettivo è limitare a SOLO quei dispositivi non è un discorso di contemporaneità. Se io l'ho dato a te non è che poi puoi cedere le credenziali anche a terzi.

    Mi veniva in mente la soluzione per esempio che usava (non so se lo fa ancora) l'app skygo che consentiva di "registrare" due dispositivi e se non erano quei dispositivi tu non potevi accedere al servizio. Potevi eventualmente disattivarne uno ma poi per 30 giorni se ne riattivavi un'altro non potevi rimuoverlo nuovamente. Mi chiedevo che tipo di strategia utilizzano visto che poi nell'area utente potevi anche gestirli questi dispositivi.
    Non so come funziona SkyGo, si poteva usare sul PC ed accedere dal browser senza installare niente sul computer?
    Se invece si poteva usare solo su dispositivi mobili con app dedicata, allora il sistema si trova.

  6. #6
    Quote Originariamente inviata da Alhazred Visualizza il messaggio
    Non so come funziona SkyGo, si poteva usare sul PC ed accedere dal browser senza installare niente sul computer?
    Se invece si poteva usare solo su dispositivi mobili con app dedicata, allora il sistema si trova.
    Si poteva usare sul PC ed accedere da browser

  7. #7
    Quote Originariamente inviata da Alhazred Visualizza il messaggio
    Non so come funziona SkyGo, si poteva usare sul PC ed accedere dal browser senza installare niente sul computer?
    Se invece si poteva usare solo su dispositivi mobili con app dedicata, allora il sistema si trova.
    Questo pomeriggio sono riuscita a recuperare un account skygo per fare dei test ed il risultato è questo:

    UTENTE A - BROWSER A - CONNESSIONE A (VPN): dispositivo registrato
    UTENTE A - BROWSER B - CONNESSIONE A (VPN): dispositivo riconosciuto
    UTENTE A - BROWSER A - CONNESSIONE B : dispositivo riconosciuto
    UTENTE B - BROWSE A - CONNESSIONE A: nuovo dispositivo

    Non riesco a capire come fanno e questa cosa mi sta incuriosendo parecchio perchè non è un discorso di cookie (altrimenti sul browser B non funzionerebbe), non è un discorso di MAC Address perchè ho mascherano volutamente il MAC address in una delle due soluzioni

    Il discorso cambia se cambio utente sullo stesso PC.

    Il dubbio che mi viene a questo punto è:
    L'applicazione va a scrivere qualcosa sul computer che non è un cookie? Si può fare?
    Genera una stringa univoca recuperando alcune informazioni dall'utente connesso? Ma quali? Cosa può recuperare SENZA il mio esplicito consenso?

  8. #8
    Utente di HTML.it
    Registrato dal
    Apr 2011
    residenza
    Arezzo
    Messaggi
    194
    è probabile che siano installati dei certificati e vengano poi utilizzati quelli per l'autenticazione del dispositivo, oltre le credenziali utente
    Riccardo Sadocchi
    Microsoft MCP C#

  9. #9
    non essendo esperto di PHP, la butto là.. chiedo venia se dico una sciocchezza:

    1) l'utente esegue il login e se il login ha successo, registri un cookie sul client utente e salvi delle informazioni di controllo anche su database;
    2) ad ogni login successivo, verifichi che, i cookie settati al massimo siano 2 e che contengano le informazioni che a te servono; se queste verifiche non hanno successo, pur avendo messo user e password corrette, l'utente non accede all'area riservata

    come detto in precedenza, sicuramente ho detto una sciocchezza
    aquatimer2000

  10. #10
    Moderatore di PHP L'avatar di Alhazred
    Registrato dal
    Oct 2003
    Messaggi
    12,445
    Quote Originariamente inviata da aquatimer2000 Visualizza il messaggio
    non essendo esperto di PHP, la butto là.. chiedo venia se dico una sciocchezza:

    1) l'utente esegue il login e se il login ha successo, registri un cookie sul client utente e salvi delle informazioni di controllo anche su database;
    2) ad ogni login successivo, verifichi che, i cookie settati al massimo siano 2 e che contengano le informazioni che a te servono; se queste verifiche non hanno successo, pur avendo messo user e password corrette, l'utente non accede all'area riservata

    come detto in precedenza, sicuramente ho detto una sciocchezza
    Il problema è che così se per qualsiasi motivo il cookie va perso, anche non per intervento malizioso dell'utente (reinstallazione del browser, formattone, CCleaner che pialla tutto...), gli è precluso l'accesso al sito pur avendone diritto.

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  
Powered by vBulletin® Version 4.2.1
Copyright © 2024 vBulletin Solutions, Inc. All rights reserved.