Benvenuto nella nostra community, registra un account gratuito ADESSO!
Oltre 7000 persone hanno già registrato il loro account.
Chiedi aiuto, conversa con aziende ed esperti del settore webhosting italiano.
Iscriviti subito! In meno di 2 minuti!
LinkBack URL
About LinkBacks
Ciao a tutti
Per consentire l'accesso ad alcuni contenuti web in php ma più in generale a sezioni di siti web ad utenti con password ma che possano usare un solo pc per collegarsi, che metodo usereste? In pratica vorrei che ogni utente possa accedere solo da un pc ed e evitare quindi che si usino le stesse credenziali per accesi multipli. Grazie a tutti
So che ci son di sicuro metodi più eleganti (e a tal proposito ricordo che io non sono un programmatore) ma io per farla in modo semplice e senza rompermi troppo le balle salvavo nel cookie un ID di sessione (fatto in casa, non le sessioni PHP) e tenevo nel DB l'ultimo ID rilasciato. Se non corrispondeva tanti saluti.
Giorgio (GrG) Bonfiglio
Cloud Evangelist, System/Network Engineer
http://blog.grg-web.eu/ http://www.giorgio-bonfiglio.tel/
Può andar bene per parecchi, ma per quelli più furbi nulla gli impedisce di copiarsi/passarsi il cookie o anche solo l'hash in esso contenuto.Originariamente Scritto da GrG
So che ci son di sicuro metodi più eleganti (e a tal proposito ricordo che io non sono un programmatore
E' un problema trovare un sistema sicuro solo con il browser. Usando un client da installare già si può giocare sull'id dell'hard disk o cose simili, ma con solo il browser è praticamente impossibile.
Alla fine forse il sistema migliore è che l'accesso è permesso solo con la stessa password che da anche accesso a dati personali (il numero della carta di credito sarebbe il massimo, ma molto pericoloso), sfido io il cliente a dare la password all'amico sapendo che questo può ravanare le sue cose.
E' cosa succede se uno cambia PC/IP/rompe il disco / reinstalla l'SO? Cosa succede se qualcuno decide di usare un serverino come proxy per il tuo servizio?
Premesso che ogni restrizione o è troppo restrittiva o è facilmente aggirabile, una soluzione che funziona per alcuni servizi è la seguente:
semplicemente si limitano le connessioni contemporanee a 1 (via ip e cookie). Se un utente è gia loggato, ogni altra connessione deve provenire dallo stesso ip con lo stesso cookie, altrimenti viene rifiutata (non viene disconnesso quello loggato ma viene rifiutata la nuova connessione).
La ratio è che se l'utente sa che condividere i dati può limitargli la libertà d'uso dell'account (ie se lo usa un'altro io devo aspettare che lui finisca prima di loggare), sarà molto meno propenso a condividere i dati.
Ovviamente questo funziona solo per determinati servizi, dove ad esempio il tempo medio è relativamente lungo.
Altrimenti le uniche cose che puoi fare sono salvarti IP, un qualche cookie e l'user agent e verificare ad ogni connessione che tutto quadri.
Se proprio vuoi puoi anche monitorare gli orari di connessione: se uno è connesso 24/7 qualcosa probabilmente non va :P
Chiaramente però l'ip lo devi monitorare in modo furbo: molti hanno ip dinamico.
Oltre a questo non mi viene in mente altro che non richieda cose esterne al browser.
Io controllavo anche lo user agent per rendere la cosa più difficile
ma non l'ip perché quello può cambiare abbastanza spesso
Nel primo caso non vedo il problema, uno accede all'area amministrativa del suo account, disattiva il vecchio identificativo e registra il nuovo.
Il secondo caso è più complesso e ammetto che la possibilità di un proxy che rieroga il servizio c'è. Tutto sta a vedere che tipi di servizi si erogano. Poniamo il caso che siano dei video: nel momento che vedo che dallo stesso account vengono richiesti più video contemporanemanete e/o che lo stesso contenuto è scaricato infinite volte, indago e se scopro che c'è un proxy disattivo quell'account.
Ma posso anche verificare ad ogni connessione con parametri sospetti (per esempio IP non residenziali, tanta banda a disposizione etc....
Su questo siamo abbastanza d'accordo, infatti anche uno scarica (se di download si tratta per esempio) 24 ore al giorno che sia il solo o si divida l'account non puoi staccarlo solo per le 24 ore a meno che non sia previsto dal contratto che ha tot ore al giorno, devi poter dimostrare che sta usando l'account in cooperativa.Premesso che ogni restrizione o è troppo restrittiva o è facilmente aggirabile,
Alla fine poi non credo che il problema sia l'utente che paga e divide il tutto con 3/4 amici, quelli non li potrai fermare in nessun modo, se è un contenuto, per esempio, uno lo scarica e poi lo gira agli altri. Il problema è appunto l'ipotesi che qualcuno sfrutti il mio servizio per guadagnare e arrecandomi pure danni per le risorse consumate.
L'user agent Andrea.... qualsiasi sistema di sessione autonoma lo fa in modo automatico, ma non è che restringa chissà quanto...
Si però l'IP non cambia a caso. Se uno passa da Alice a un ISP cinese qualcosa non va.
Comunque per proporre una soluzione più adatta bisognerebbe sapere che tipo di sito è.
A mio parere la cosa che conviene fare è rendere svantaggiossa la condivisione, facendo si che gran parte degli utenti non sharino di loro spontanea volonta.
Un sistema potrebbe essere quello che limita le connessioni contemporanee a 1, che ho precedentemente esposto, con l'aggiunta di un sistema che logga gli accessi. Fai un sistema automatico per sfoltire la lista degli accessi ed escludi gli account con poca attivita e una volta alla settimana dai una controllata a mano, facendo magari partire qualche ban.
Se gli utenti sanno che se sharano non possono connettersi quando vogliono e rischiano pure il ban, non saranno tanto propensi a farlo.
Si, immaginavo che l'autenticazione tramite browser era poco affidabile.
Ho letto qualcosa sull'autenticazione basata ad es su chiavette usb. Poiche' il prodotto sarebbe tipo abbonamento annuale, mi chiedevo se qualcuno aveva esperienza con chiavi usb che contengano un certificato associato all'utente.
Era quello che dicevo quando proponevo lo stesso accesso sia all'area amministrativa personale che dei servizi. Uno non condivide una password che permette all'altro di vedere i suoi affari (la carta di credito sarebbe il massimo) ma è comunque aggirabile con un account completamente fittizio compresa carta di credito ricaribile aperta e chiusa all'uopo.
Purtroppo un sistema completamente automatico è difficile, l'unica è lavorarci live ed aggiungere limitazioni man mano che si scoprono utilizzi impropri.
Poi se fossi io lavorerei sui grandi numeri, se anche qualcuno condivide l'account con un amico pazienza se dovrei diventare matto per tutelarmi in tal senso, l'importante è che ia abbia il giusto numero di paganti.
Dando per scontato che ogni metodo ha i suoi limiti, mi chiedevo qualcosa che potesse dare una sicurezza accettabile, senza stare troppo dietro ai singoli utenti. Anche il certificato si puo' copiare pero' se l'utente non è molto pratico immagina di avere una chiave unica che gli consente l'accesso. Solo mi chiedevo i costi per questa soluzione e la tecnologia da utilizzare sul webserver
lo so lo so
se vuoi fare una cosa abbastanza sicura devi fare riferimento a software installati sul PC dell'utente e abbandonare ovviamente l'idea del web delivery tramite browser (uni compromesso accettabile potrebbe essere un applet java)
Sentinel HASP | Sentinel Protection and Licensing | SafeNet
o
Software security
Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)
Permessi di Scrittura
© 2006 - 2012 WeTalk Group S.r.l.- P.iva IT04026910408
E' vietata la riproduzione anche parziale dei contenuti
Rispondi Citando
: First-Colo, OVH, Hetzner, Webtropia, Portlane, NFOrce 
Segnalibri