[ OWASP - Montreal ] How to authentify a machine/Comment authentifier une machine

Benoit Guerette benoit.guerette at gmail.com
Thu Dec 4 16:17:23 EST 2008


Seems I read too fast, your talking about servers outside the local
network to authenticate.

I guess asking merchant to get static IP from their ISP and filter
them on you firewall is out of scope.

So I guess you want to block kids working on the store to access the
site after normal business hours? May be the store owner can
desactivate their account on your website, or have a way to specify a
homemade policy for valid login access per group or user?






2008/12/4 Benoit Guerette <benoit.guerette at gmail.com>:
> All I can say is that security based on IP and MAC is not a good
> solution since they can be spoofed (arp cache poisoning, ip spoofing
> etc). But I am searching a solution for your problem.
>
>
>
> 2008/12/4 Laurent Desaulniers <laurent.desaulniers at gmail.com>:
>> Hello,
>>
>>    I have a *tricky* question. How do you authentify a machine? For example,
>> an important application may be availlable at a store, but the store clerk
>> should not be able to access the same web site when home. IP base access
>> control is nice, but hardly scalable. Also, some systems are on dhcp. MAC
>> based control would be nice, but it appears difficult to know a MAC adress
>> from a browser. (violates most browser security model)
>>
>>    Certificates is also hardly scalable and cookies can hardly be used since
>> anyone can clean cookies/copy cookies. (Beside, in those cases, you dont
>> authenticate a MACHINE, but a user)
>>
>>
>> Any ideas/clue?
>> Code example?
>>
>> ==================
>>
>>
>> Bonjour,
>>
>>   Comment est-ce que vous authentifiez une machine distante dans le cas
>> d'une application qui requiert une authentification plus solide? Par
>> exemple, une application WEB en magasin qui doit être accèdé par des
>> partenaires mais le commis qui travaille au bureau ne doit pas pouvoir y
>> accèder de chez lui (mais peut au travail)
>>
>>   Des certificats peuvent être utilisés, mais la solution ne croit pas bien;
>> même chose pour les vérifications par adresse IP. De toutes manière,
>> certains clients sont sur DHCP. Une solution par cookie n'est pas acceptable
>> car un cookie authentifie un USAGER et non pas un poste de travail.
>>
>>   Theoriquement, une solution basée sur l'adresse MAC serait optimale. Par
>> contre, il semble TRES difficile d'obtenir un adresse MAC depuis le
>> navigateur (ceci viole le modèle de sécurité des navigateurs)
>>
>>   Des ideés/Solutions/Expérience?
>>
>>    Exemple de code?
>>
>>
>> --
>> *CONFIDENTIALITÉ* L'information apparaissant dans ce message électronique
>> est de nature légalement privilégiée et confidentielle. Si ce message vous
>> est parvenu par erreur et que vous n'êtes pas le destinataire visé, vous
>> êtes par les présentes avisé que tout usage, copie ou distribution de ce
>> message est strictement interdit. Vous êtes donc prié de nous informer
>> immédiatement de cette erreur et de détruire ce message.
>>
>>
>>
>> *CONFIDENTIALITY* The information in this message is legally privileged and
>> confidential. In the event of a transmission error and if you are not the
>> individual or entity mentioned above, you are hereby advised that any use,
>> copying or reproduction of this document is strictly forbidden. Please
>> advise us of this error and destroy this message.
>>
>> _______________________________________________
>> Owasp-montreal mailing list
>> Owasp-montreal at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-montreal
>>
>>
>
>
>
> --
> http://www.linkedin.com/in/benoitguerette
> http://www.owasp.org/index.php/Montreal
>



-- 
http://www.linkedin.com/in/benoitguerette
http://www.owasp.org/index.php/Montreal


More information about the Owasp-montreal mailing list