Identificare unicamente un dispositivo

[sally3000]

Ciao a tutti, ho bisogno di un consiglio. Ho un'idea in testa ma non so quale potrebbe essere il modo migliore per gestirla.

Ho bisogno di controllare e limitare eventualmente i dispositivi che accedono alla mia applicazione web.
L'utente che si autentica nell'area riservata deve poter accedere al massimo da x dispositivi e devo poterli riconoscere.

Ovviamente l'IP è scartato in quanto può cambiare
E anche il MAC address può essere manipolato (es. se io ho una sottorete tutti i dispositivi che escono hanno lo stess MAC Address)
Avevo pensato anche ad installare dei cookie ma questi possono in realtà essere rimossi

Idee? Suggerimenti?

[Alhazred]

Penso non sia possibile per una web app, qualsiasi soluzione è manipolabile dall'utente.
Potresti pensare di usare contemporaneamente tutti i sistemi che hai elencato e sperare che l'utente malizioso non pensi a tutte queste possibilità, ma chiaramente non è una soluzione affidabile.

[aquatimer2000]

Ho bisogno di controllare e limitare eventualmente i dispositivi che accedono alla mia applicazione web.
L'utente che si autentica nell'area riservata deve poter accedere al massimo da x dispositivi e devo poterli riconoscere.

L'obiettivo quale è?
Limitare il numero dei dispositivi da cui è possibile effettuare l'accesso, oppure è permettere l'accesso solo da alcuni dispositivi (es: solo 2 dispositivi e sempre e comunque quei 2 dispositivi)?

[sally3000]

L'obiettivo quale è?
Limitare il numero dei dispositivi da cui è possibile effettuare l'accesso, oppure è permettere l'accesso solo da alcuni dispositivi (es: solo 2 dispositivi e sempre e comunque quei 2 dispositivi)?

L'obiettivo è limitare a SOLO quei dispositivi non è un discorso di contemporaneità. Se io l'ho dato a te non è che poi puoi cedere le credenziali anche a terzi.

Mi veniva in mente la soluzione per esempio che usava (non so se lo fa ancora) l'app skygo che consentiva di "registrare" due dispositivi e se non erano quei dispositivi tu non potevi accedere al servizio. Potevi eventualmente disattivarne uno ma poi per 30 giorni se ne riattivavi un'altro non potevi rimuoverlo nuovamente. Mi chiedevo che tipo di strategia utilizzano visto che poi nell'area utente potevi anche gestirli questi dispositivi.

[Alhazred]

L'obiettivo è limitare a SOLO quei dispositivi non è un discorso di contemporaneità. Se io l'ho dato a te non è che poi puoi cedere le credenziali anche a terzi.

Mi veniva in mente la soluzione per esempio che usava (non so se lo fa ancora) l'app skygo che consentiva di "registrare" due dispositivi e se non erano quei dispositivi tu non potevi accedere al servizio. Potevi eventualmente disattivarne uno ma poi per 30 giorni se ne riattivavi un'altro non potevi rimuoverlo nuovamente. Mi chiedevo che tipo di strategia utilizzano visto che poi nell'area utente potevi anche gestirli questi dispositivi.

Non so come funziona SkyGo, si poteva usare sul PC ed accedere dal browser senza installare niente sul computer?
Se invece si poteva usare solo su dispositivi mobili con app dedicata, allora il sistema si trova.

[sally3000]

Non so come funziona SkyGo, si poteva usare sul PC ed accedere dal browser senza installare niente sul computer?
Se invece si poteva usare solo su dispositivi mobili con app dedicata, allora il sistema si trova.

Si poteva usare sul PC ed accedere da browser

[sally3000]

Non so come funziona SkyGo, si poteva usare sul PC ed accedere dal browser senza installare niente sul computer?
Se invece si poteva usare solo su dispositivi mobili con app dedicata, allora il sistema si trova.

Questo pomeriggio sono riuscita a recuperare un account skygo per fare dei test ed il risultato è questo:

UTENTE A - BROWSER A - CONNESSIONE A (VPN): dispositivo registrato
UTENTE A - BROWSER B - CONNESSIONE A (VPN): dispositivo riconosciuto
UTENTE A - BROWSER A - CONNESSIONE B : dispositivo riconosciuto
UTENTE B - BROWSE A - CONNESSIONE A: nuovo dispositivo

Non riesco a capire come fanno e questa cosa mi sta incuriosendo parecchio perchè non è un discorso di cookie (altrimenti sul browser B non funzionerebbe), non è un discorso di MAC Address perchè ho mascherano volutamente il MAC address in una delle due soluzioni

Il discorso cambia se cambio utente sullo stesso PC.

Il dubbio che mi viene a questo punto è:
L'applicazione va a scrivere qualcosa sul computer che non è un cookie? Si può fare?
Genera una stringa univoca recuperando alcune informazioni dall'utente connesso? Ma quali? Cosa può recuperare SENZA il mio esplicito consenso?

[rikyeko]

è probabile che siano installati dei certificati e vengano poi utilizzati quelli per l'autenticazione del dispositivo, oltre le credenziali utente

[aquatimer2000]

non essendo esperto di PHP, la butto là.. chiedo venia se dico una sciocchezza:

1) l'utente esegue il login e se il login ha successo, registri un cookie sul client utente e salvi delle informazioni di controllo anche su database;
2) ad ogni login successivo, verifichi che, i cookie settati al massimo siano 2 e che contengano le informazioni che a te servono; se queste verifiche non hanno successo, pur avendo messo user e password corrette, l'utente non accede all'area riservata

come detto in precedenza, sicuramente ho detto una sciocchezza

[Alhazred]

non essendo esperto di PHP, la butto là.. chiedo venia se dico una sciocchezza:

1) l'utente esegue il login e se il login ha successo, registri un cookie sul client utente e salvi delle informazioni di controllo anche su database;
2) ad ogni login successivo, verifichi che, i cookie settati al massimo siano 2 e che contengano le informazioni che a te servono; se queste verifiche non hanno successo, pur avendo messo user e password corrette, l'utente non accede all'area riservata

come detto in precedenza, sicuramente ho detto una sciocchezza

Il problema è che così se per qualsiasi motivo il cookie va perso, anche non per intervento malizioso dell'utente (reinstallazione del browser, formattone, CCleaner che pialla tutto...), gli è precluso l'accesso al sito pur avendone diritto.