[ OWASP - Montreal ] How to authentify a machine/Comment authentifier une machine

Laurent Desaulniers laurent.desaulniers at gmail.com
Thu Dec 4 18:49:10 EST 2008


What i see is that there are not easy solutions and that i need to be more
specific :D

>From what i see (and what i expected), there are not easy, scalable way, to
authentify a machine. VPN and IPs are not scalable. Mac is impractical. It
is difficult, at least for a web application.

To give a bit of context, if needed. A store management utility is used by
store clerks. Every store has many accounts. Every store can either be
affiliated with a big merchand or be a "Ma and Pa" shop. Big merchants of
course have a dedicated ip infrastructure, but the smallest shops use a
usual ISP.

The threat we want to face is access control. We want the clercks to be able
to login while at the store, but not at home. Keep in mind, this application
will have 5000+ clients. We dont want the solution to be trivially
bypassable.

You all provided great insight and gave good answers, but i doubt OWASP will
be able to help. While it is a web flaw, it is too specific for the needs of
OWASP.

Thank you once more for the answers and your participation.

P.S. Ever faced the need to authenticate a machine? Bypass clickfraud?
Prevent online game cheating? If so, i would like to know if it would be
worth it to start a Owasp project/how you solved it.

2008/12/4 Philippe Gamache <philippe at gamache.com>

> IP base is a good anwser, because most offices have fixes IPs.
>
> Laurent Desaulniers wrote:
>
>> Hello,
>>     I have a *tricky* question. How do you authentify a machine? For
>> example, an important application may be availlable at a store, but the
>> store clerk should not be able to access the same web site when home. IP
>> base access control is nice, but hardly scalable. Also, some systems are on
>> dhcp. MAC based control would be nice, but it appears difficult to know a
>> MAC adress from a browser. (violates most browser security model)
>>     Certificates is also hardly scalable and cookies can hardly be used
>> since anyone can clean cookies/copy cookies. (Beside, in those cases, you
>> dont authenticate a MACHINE, but a user)
>>   Any ideas/clue?
>> Code example?
>>  ==================
>>   Bonjour,
>>    Comment est-ce que vous authentifiez une machine distante dans le cas
>> d'une application qui requiert une authentification plus solide? Par
>> exemple, une application WEB en magasin qui doit être accèdé par des
>> partenaires mais le commis qui travaille au bureau ne doit pas pouvoir y
>> accèder de chez lui (mais peut au travail)
>>    Des certificats peuvent être utilisés, mais la solution ne croit pas
>> bien; même chose pour les vérifications par adresse IP. De toutes manière,
>> certains clients sont sur DHCP. Une solution par cookie n'est pas acceptable
>> car un cookie authentifie un USAGER et non pas un poste de travail.
>>    Theoriquement, une solution basée sur l'adresse MAC serait optimale.
>> Par contre, il semble TRES difficile d'obtenir un adresse MAC depuis le
>> navigateur (ceci viole le modèle de sécurité des navigateurs)
>>    Des ideés/Solutions/Expérience?
>>     Exemple de code?
>>
>>
>> --
>> *CONFIDENTIALITÉ* L'information apparaissant dans ce message électronique
>> est de nature légalement privilégiée et confidentielle. Si ce message vous
>> est parvenu par erreur et que vous n'êtes pas le destinataire visé, vous
>> êtes par les présentes avisé que tout usage, copie ou distribution de ce
>> message est strictement interdit. Vous êtes donc prié de nous informer
>> immédiatement de cette erreur et de détruire ce message.
>>
>>
>>
>> *CONFIDENTIALITY* The information in this message is legally privileged
>> and confidential. In the event of a transmission error and if you are not
>> the individual or entity mentioned above, you are hereby advised that any
>> use, copying or reproduction of this document is strictly forbidden. Please
>> advise us of this error and destroy this message.
>> ------------------------------------------------------------------------
>>
>> _______________________________________________
>> Owasp-montreal mailing list
>> Owasp-montreal at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-montreal
>>
>>
>
>


-- 
*CONFIDENTIALITÉ* L'information apparaissant dans ce message électronique
est de nature légalement privilégiée et confidentielle. Si ce message vous
est parvenu par erreur et que vous n'êtes pas le destinataire visé, vous
êtes par les présentes avisé que tout usage, copie ou distribution de ce
message est strictement interdit. Vous êtes donc prié de nous informer
immédiatement de cette erreur et de détruire ce message.



*CONFIDENTIALITY* The information in this message is legally privileged and
confidential. In the event of a transmission error and if you are not the
individual or entity mentioned above, you are hereby advised that any use,
copying or reproduction of this document is strictly forbidden. Please
advise us of this error and destroy this message.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-montreal/attachments/20081204/f4fdcbe8/attachment.html 


More information about the Owasp-montreal mailing list