Forum Linux.général sécursation web

Posté par  .
Étiquettes : aucune
0
19
mai
2006
Bonjour

Je dois "sécuriser" un accès à une appli web de la façon suivante :

Accès authentifié et unique : c'est à dire que l'utilisateur doit saisir un login+mot de passe et que ceci ne doit être possible que d'une unique machine. Pas une unique machine "à la fois", mais d'une unique machine indéfiniment.

L'authentification se fera par HTTPS ou par formulaire, et l'authentification mutuelle par certificats client & serveur est prévue.

Ainsi, seul les possesseurs du certif clients pourront s'y connecter.

Je ne peux pas empecher l'utilisateur d'installer le certif sur un autre poste, mais j'aimerais détecter et empêcher qu'une autre machine que la première est utilisée,que le même certif sert plusieurs fois donc.

Ex : le bonhomme installe le certif sur son PC au boulot.
"tiens je vais l'installer chez moi comme ça je pourrais m y connecter" ou alors "je vais filer le certif au collègue" sont exactement les scénarios que je veux prévenir.

Quelqu'un aurait une piste ?

Merci d'avance!

  • # [:ilhom]

    Posté par  (site web personnel) . Évalué à 5.

    > Quelqu'un aurait une piste ?

    En voici une bien jolie:
    http://www.air-tropical.com/photos/Piste-decollage-Les-saint(...)

    > Merci d'avance!
    De rien !

    a+
    Troy.

    • [^] # Re: [:ilhom]

      Posté par  . Évalué à 1.

      La lourdeur envahit aussi les forums /o\

  • # Mmmmh

    Posté par  (site web personnel) . Évalué à 0.

    C'est un problème intéressant que tu développes ici. Tu ne peux en effet prévenir l'installation de certificats sur plusieurs machines (moi même ...). Tu peux par contre sans doute restreindre les adresses IPs qui peuvent se connecter à une application.

    L'autre possibilité si ces postes utilisent une version spécifique de navigateurs est de rajouter une vérification sur l'agent. Maintenant le problème c'est que :

    - c'est sale
    - c'est facilement contournable
    - c'est vraiment sale

    Tu pourrais sans doute logger dans une base de donnee l'adresse du client avec l'utilisateur et mettre un delai d'expiration. Je ne ferais pas confiance aux cookies, qui sont facilement contournables et effacables.

    Steph

    • [^] # Re: Mmmmh

      Posté par  . Évalué à 0.

      Merci de ta réponse. Je pense combiner un maximum de vérif de ce genre, voire développer un petit logiciel client à installer sur le poste client.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.