Accesso ad area riservata su di unico pc

[E.L.]

Salve a tutti, ci è stato richiesto di attivare una funzione in un sito che consenta di accedere ad una area riservata ad uno specifico pc.
Mi spiego: l'utente qualunque può navigare il sito, l'utente dotato di login e pwd può accedere a certe aree ma solo da uno specifico pc. Se ne usa un altro, pur disponendo di login e pwd, non può accedervi.
Scartata l'idea di usare dei certificati, mi chiedevo se qualcuno ha qualche idea su come sviluppare l'applicazione in php.

Grazie

[neroux]

L'IP?

[E.L.]

Non so, purtroppo, a priori se l'utente disponga di ip statico. In media penso sia dinamico.

[neroux]

Dipende dalla connessione, comunque se non deve essere sicurissimo lo potresti fare anche tramite un cookie.

[daniele_dll]

stiamo parlando di una LAN o su internet?

se parliamo di una lan puoi fare uso del mac address, che può essere cambiato ma solo dall'amministratore della macchina (ad es in un dominio la cosa cambia)

alternativamente, sempre in lan, puoi scrivere un software in php che parte sul client e ad esempio binda la porta 12345 cosi che tu, quando ricevi la richiesta, verifichi che la porta 12345 sia aperta e risponda correttamente ... in modo da essere certo che sia quello il pc

se, invece, parliamo di internet, non penso ci sia un modo sicuro ... anche lo stesso ip ... se si usa un proxy/nat (router) possono essere più pc dietro una stesso ip

[neroux]

Originariamente inviato da daniele_dll
se parliamo di una lan puoi fare uso del mac address, che può essere cambiato ma solo dall'amministratore della macchina (ad es in un dominio la cosa cambia)

In principio una bella idea, però è difficile ottenere il mac, soprattutto se parliamo di PHP.

[E.L.]

Parliamo di internet non di lan

[silverwings]

Puoi eseguire un controllo solo se l'IP del client è statico.

In altri casi non è possibile controllare da dove proviene una chiamata.

[daniele_dll]

in realtà è abbastanza semplice

su windows basta lanciare

codice:

arp  -a

e cercare tra le righe quelle contenente l'ip della macchina remota

codice:

Interfaccia: 192.168.0.123 --- 0xb
  Indirizzo Internet    Indirizzo fisico      Tipo
  1.2.3.4          00-11-22-33-44-55     dinamico
  192.168.0.255         ff-ff-ff-ff-ff-ff     statico
  224.0.0.22            01-00-5e-00-00-16     statico
  224.0.0.252           01-00-5e-00-00-fc     statico
  239.255.255.250       01-00-5e-7f-ff-fa     statico

per esempio questa è la configurazione presente sulla mia macchina ... c'è anche altro, ma in realtà non interessa, basta qualcosa tipo

Codice PHP:

$matches = array();

// l'ip DEVE esserci, tranne se c'è qualche strano e/o assurdo problema al sistema operativo
if (preg_match('#mio-ip.+?([A-Z0-9\-]{17})#is', `arp -a`, $matches) == false)
{
    die('Strano e assurdo problema nel sistema operativo!');
}

if ($matches[1] == '00-11-22-33-44-55')
{
    echo 'ok, puoi accedere';
}
else
{
    echo 'mi spiace per te, niente da fare!';
} 


mentre su linux varia poco, il comando è

codice:

arp -an

mentre l'output

codice:

[root@alpha ~]# arp -an
? (1.2.3.4) at 00:11:22:33:44:55 [ether] on eth0

l'espressione regolare può rimanere uguale, non dovrebbero esserci problemi

[daniele_dll]

Originariamente inviato da silverwings
Puoi eseguire un controllo solo se l'IP del client è statico.

In altri casi non è possibile controllare da dove proviene una chiamata.

si, ma anche in questo caso non è detto che sia un pc ..... si sa solo che c'è un ip da cui si ricevono informazioni non un pc da cui si ricevono informazioni

su internet, a meno che non si faccia qualcosa ad hoc, non si può fare

un'alternativa potrebbe essere l'uso di una VPN, però, siamo sempre li, identificare il pc al 100% non è fattibile ... magari combinando la VPN ed il software che si binda su una data porta nel cliente si potrebbe fare qualcosa (con la VPN usare l'arp non è perché avviare la vpn richiede i privilegi di amministratore quindi si può variare il file di configurazione di openvpn, dove è scritto l'indirizzo arp, e la frittata e fatta)