[ OWASP - Montreal ] How to authentify a machine/Commentauthentifier une machine

Fortier, Hugo hugo at securitycompass.com
Thu Dec 4 15:50:55 EST 2008


If you want to authenticate a machine your best bet would be to use a vpn and make sure that the user cannot recover the key. Aka the user must not be administrator, the machine should not allow to boot from a external device. Ideally the machine should be physically secure.

What type of threats are you trying to protect yourself from? What kind of users are you trying to protect from? This would not be hacker proof... But this solution work against a normal user.

Hugo

________________________________

From: owasp-montreal-bounces at lists.owasp.org 
To: owasp-montreal 
Sent: Thu Dec 04 14:18:19 2008
Subject: [ OWASP - Montreal ] How to authentify a machine/Commentauthentifier une machine 


Hello, 
 
   I have a *tricky* question. How do you authentify a machine? For example, an important application may be availlable at a store, but the store clerk should not be able to access the same web site when home. IP base access control is nice, but hardly scalable. Also, some systems are on dhcp. MAC based control would be nice, but it appears difficult to know a MAC adress from a browser. (violates most browser security model) 
 
   Certificates is also hardly scalable and cookies can hardly be used since anyone can clean cookies/copy cookies. (Beside, in those cases, you dont authenticate a MACHINE, but a user)
 
 
Any ideas/clue?
Code example?
 
==================
 
 
Bonjour, 
 
  Comment est-ce que vous authentifiez une machine distante dans le cas d'une application qui requiert une authentification plus solide? Par exemple, une application WEB en magasin qui doit être accèdé par des partenaires mais le commis qui travaille au bureau ne doit pas pouvoir y accèder de chez lui (mais peut au travail)
 
  Des certificats peuvent être utilisés, mais la solution ne croit pas bien; même chose pour les vérifications par adresse IP. De toutes manière, certains clients sont sur DHCP. Une solution par cookie n'est pas acceptable car un cookie authentifie un USAGER et non pas un poste de travail.
 
  Theoriquement, une solution basée sur l'adresse MAC serait optimale. Par contre, il semble TRES difficile d'obtenir un adresse MAC depuis le navigateur (ceci viole le modèle de sécurité des navigateurs)
 
  Des ideés/Solutions/Expérience?
 
   Exemple de code?
 


-- 
*CONFIDENTIALITÉ* L'information apparaissant dans ce message électronique est de nature légalement privilégiée et confidentielle. Si ce message vous est parvenu par erreur et que vous n'êtes pas le destinataire visé, vous êtes par les présentes avisé que tout usage, copie ou distribution de ce message est strictement interdit. Vous êtes donc prié de nous informer immédiatement de cette erreur et de détruire ce message.



*CONFIDENTIALITY* The information in this message is legally privileged and confidential. In the event of a transmission error and if you are not the individual or entity mentioned above, you are hereby advised that any use, copying or reproduction of this document is strictly forbidden. Please advise us of this error and destroy this message.

-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-montreal/attachments/20081204/e293c6ab/attachment-0001.html 


More information about the Owasp-montreal mailing list