Sicurezza : Limitare accesso con certificato lato client

[morriluca]

Mi chiamo Morri Luca e vi pongo il mio problema/curiosità.

Dovrei realizzare un portale in php con accessi limitati, arrivando
alla limitazione dei singoli pc da dove accederci.

Navigando in rete e provando varie piattaforme ho trovato un curioso
metodo, utilizzato da salesforce.net.

Durante il login a questo portare CRM il sistema installa sul tuo PC
una qualche sorta di certificato per abilitare il tuo pc ad eseguire l'accesso
al sistema con il tuo nome utente e password.

Sarei curioso di sapere come si chiama la tecnologia utilizzata.
In prima battuta ho pensato ai cookie, ma pure eliminandoli il sistema di login
riconosce sempre che il mio computer è abilitato.

Sapete come si chiama tale tecnologia, o come si potrebbe implementare tale
sistema di sicurezza?

Esiste un qualche variabili in PHP che ti restituisce un qualche id del pc?

[eiyen]

il sito che hai indicato non mi si apre, quindi non so cosa usi... cosa ti chiede?

per identificare un "pc" devi decidere cosa vuoi "monitorare"... potresti usare l'ip, ma non sarebbe affidabile (spesso è dinamico e a volte condiviso tra più postazioni)... quale tipo di vincolo vuoi porre? in pratica: come fa un utente a identificarsi? perchè anche bloccando l'accesso in base a una postazione fisica, dovresti comunque avere un parametro di identificazione... se l'utente può fare un "login" è ragionevole lo possa fare da qualunque postazione, invece tu cosa vorresti ottenere? un vincolo in base alla macchina "fisica"?

[morriluca]

Il sito corretto è il seguente
salesforce.com, è uno dei più grandi servizi di CRM al mondo.

Il vincolo da porre è il seguente
Un utente che accedere al mio sistema dopo che io gli ho fornito un user name e una password, può accedere al mio sistema solamente da un pc.

I passi da seguire sono questi:
1) L'utente effettua un login per l'accesso al sistema
2) Dopo aver effettuato l'accesso, il sistema deve riconoscere il pc di quell'utente. Se il pc è abilitato l'utente può prosegue, altrimenti il sistema deve abilitare il pc.
3) Per abilitare il pc, il sistema invia un'email al cliente con un codice di accesso ulteriore.
4) l'utente inserisce dopo il login il secondo codice arrivato via email
5) il sistema in qualche modo abilita il pc da cui l'utente si è loggato.

E' un sistema abbastanza complitato. Il portare CRM sopra indicato funziona nel seguente modo. Non può dipendere dall'ip e non dipende dai cookie.
Da cos'altro può diendere?
Sapete illuminarmi?

Vi dirò di più. Il sistema usato da salesforce.com è indipendente dal browser. Se io certifico per esempio il pc con internet explorer, non è necessario ricertificarsi se accedo tramite firefox ecc,

[eiyen]

ma ti fa installare qualcosa? nella pagina https://www.chatter.com/it/about/security/ non parla di questa cosa

[morriluca]

No, non ti fa installare niente.
Se il pc a cui accedi è nuovo ti manda per email un secondo codice.
Da quando inserisci il codice il tuo pc può accedere al sistema.

Sul pc non installa niente. Ho fatto un ricerca di file modificati
o di file aggiunti ma non trova niente.

Secondo me riesce a recuperare in certo id che identifica la macchina fisica.
Con Php non so come si faccia.
Il sistema salesforce è comunque basato non su php , ma su JavaServer Pages.
Non so se questo può fare la differenza

[eiyen]

mah... non so quello cosa faccia... ma una cosa del genere potresti ottenerla così:

- esegui la procedura come descritto fino al primo contatto
- generi una firma della macchina usando tutti i dati a tua disposizione possibile (*)
- ad ogni successivo acceso ricalcoli la firma e fai un controllo

(*) ovviamente il problema è quali dati puoi ricavare... non molto in realtà... in javascript puoi recuperare preventivamente qualche dato in più e passarlo al php, ma bisogna tener conto che molti dati possono essere "falsati"... alcune info più sicure possono essere ricavate, ma solo in casi particolari (es. vedi http://www.programmazione.it/index.p...m&idItem=41842)

proseguiamo a ragionarci, direi... ti suggerisco anche di fare delle prove con il sistema che hai detto tu variando qualcosa nel sistema e controllando se non vieni riconosciuto, per esempio:
- il browser (più tentativi);
- la risoluzione dello schermo;
- le impostazioni della lingua

[morriluca]

Ho provato cambiando indirizzo ip, ma non funziona.
Il sistema si connette ugualmente.
Anche se non è compatibile con tutti i browse può essere però una buona idea.
Grande

[eiyen]

mmmh... non ho ben capito che strada quindi stai provando a percorrere... può essere utile proseguire questo post, secondo me con maggiori dettagli...

[morriluca]

Si si certo. Stò cercando di raccogliere più idee possibili. Quella del mac address è una, anche se da quel che ho letto in giro non è compatibile con tutti i browser.

[eiyen]

sì... cmq gli accessi alle risorse locali richiedono una qualche autorizzazione (il che può anche andar bene, cmq)... in ogni caso potrebbero essere "falsati" (ma ci vuole un po' di furbizia... d'altronde ogni sistema ha il suo "hackeraggio" ): certamente dati più "banali" ricavati senza oggetti speciali sono più facilmente modificabili, ma se cmq registri alcuni parametri per poterli simulare un malintenzionato dovrebbe comunque conoscerli...

fai sapere come va avanti la cosa...