[ OWASP - Montreal ] How to authentify a machine/Comment authentifier une machine

Benoit Guerette benoit.guerette at gmail.com
Thu Dec 4 15:39:45 EST 2008


All I can say is that security based on IP and MAC is not a good
solution since they can be spoofed (arp cache poisoning, ip spoofing
etc). But I am searching a solution for your problem.



2008/12/4 Laurent Desaulniers <laurent.desaulniers at gmail.com>:
> Hello,
>
>    I have a *tricky* question. How do you authentify a machine? For example,
> an important application may be availlable at a store, but the store clerk
> should not be able to access the same web site when home. IP base access
> control is nice, but hardly scalable. Also, some systems are on dhcp. MAC
> based control would be nice, but it appears difficult to know a MAC adress
> from a browser. (violates most browser security model)
>
>    Certificates is also hardly scalable and cookies can hardly be used since
> anyone can clean cookies/copy cookies. (Beside, in those cases, you dont
> authenticate a MACHINE, but a user)
>
>
> Any ideas/clue?
> Code example?
>
> ==================
>
>
> Bonjour,
>
>   Comment est-ce que vous authentifiez une machine distante dans le cas
> d'une application qui requiert une authentification plus solide? Par
> exemple, une application WEB en magasin qui doit être accèdé par des
> partenaires mais le commis qui travaille au bureau ne doit pas pouvoir y
> accèder de chez lui (mais peut au travail)
>
>   Des certificats peuvent être utilisés, mais la solution ne croit pas bien;
> même chose pour les vérifications par adresse IP. De toutes manière,
> certains clients sont sur DHCP. Une solution par cookie n'est pas acceptable
> car un cookie authentifie un USAGER et non pas un poste de travail.
>
>   Theoriquement, une solution basée sur l'adresse MAC serait optimale. Par
> contre, il semble TRES difficile d'obtenir un adresse MAC depuis le
> navigateur (ceci viole le modèle de sécurité des navigateurs)
>
>   Des ideés/Solutions/Expérience?
>
>    Exemple de code?
>
>
> --
> *CONFIDENTIALITÉ* L'information apparaissant dans ce message électronique
> est de nature légalement privilégiée et confidentielle. Si ce message vous
> est parvenu par erreur et que vous n'êtes pas le destinataire visé, vous
> êtes par les présentes avisé que tout usage, copie ou distribution de ce
> message est strictement interdit. Vous êtes donc prié de nous informer
> immédiatement de cette erreur et de détruire ce message.
>
>
>
> *CONFIDENTIALITY* The information in this message is legally privileged and
> confidential. In the event of a transmission error and if you are not the
> individual or entity mentioned above, you are hereby advised that any use,
> copying or reproduction of this document is strictly forbidden. Please
> advise us of this error and destroy this message.
>
> _______________________________________________
> Owasp-montreal mailing list
> Owasp-montreal at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-montreal
>
>



-- 
http://www.linkedin.com/in/benoitguerette
http://www.owasp.org/index.php/Montreal


More information about the Owasp-montreal mailing list