Vor einigen Jahren habe ich eine Web-App entwickelt, bei der wir sicherstellen wollten, dass die Benutzer keine Anmeldeinformationen teilen.
Eines der Dinge, zu dem wir uns entschlossen haben, war, dass der Benutzer nur von einem Computer zu einem Zeitpunkt angemeldet werden konnte. Die Art, wie ich das gemacht habe, war ein kleiner iFrame, der alle N Sekunden den Server anpingt; Solange der Server einen Heartbeat für einen bestimmten Benutzer (von einer bestimmten IP) hatte, durfte sich dieser Benutzer nicht von einer anderen IP-Adresse aus anmelden.
Die Lösung, obwohl von meiner Krippe genehmigt, schien mir immer hacky. Außerdem scheint es, als wäre es leicht zu umgehen.
Gibt es eine gute Möglichkeit, sicherzustellen, dass sich ein Web-App-Benutzer nur einmal anmeldet? Um ehrlich zu sein, habe ich nie verstanden, warum das Management diese Funktion überhaupt wollte. Macht es Sinn, dies auf verteilten Apps zu erzwingen?
Ich habe dies implementiert, indem ich eine Hashtabelle der aktuell angemeldeten Benutzer beibehalte, der Schlüssel war der Benutzername, der Wert war ihre letzte Aktivitätszeit.
Wenn Sie sich anmelden, überprüfen Sie einfach diese Hashtabelle für den Schlüssel, und wenn sie existiert, lehnen Sie die Anmeldung ab.
Wenn der Benutzer etwas tut, aktualisieren Sie die Hashtabelle mit der Zeit (Dies ist einfach, wenn Sie sie zum Kernseitenframework machen).
Wenn die Zeit in der Hashtabelle mehr als 20 Minuten Inaktivität beträgt, entfernen Sie sie. Sie können dies jedes Mal tun, wenn die Hashtabelle aktiviert ist. Selbst wenn Sie nur einen Benutzer hatten und sich mehrere Stunden später bei dieser ersten Überprüfung anmeldeten, würden Sie sie aus der Hashtabelle entfernen, um inaktiv zu bleiben.
Einige Beispiele in C # (ungetestet):
%Vor%Wenn du an einem "Feature" wie diesem gearbeitet hast, sei gewarnt - dies ist eine Elefantenfalle von Randfällen, in denen du am Ende denkst, du hättest es genagelt und dann sagst du oder jemand anderes "Aber was, wenn jemand X gemacht hat?" und Sie erkennen, dass Sie eine weitere Ebene der Komplexität hinzufügen müssen.
Zum Beispiel:
und so weiter ...
Grundsätzlich gibt es eine Reihe von mehr oder weniger hacky Lösungen, von denen keine idiotensicher sind und die alle schwer zu pflegen sind. In der Regel ist das eigentliche Ziel des Clients ein anderes legitimes Sicherheitsziel, wie zum Beispiel "Benutzer nicht mehr mit Accounts teilen".
Die beste Idee ist es herauszufinden, was das zugrunde liegende Ziel ist und einen Weg zu finden, dem zu entsprechen. Und ich fürchte, das beinhaltet Verhandlungsdiplomatie und andere solche "Soft Skills", anstatt sich auf eine technische Wildgansjagd einzulassen ..,
Nur IP zu betrachten kann unzuverlässig sein. IIRC gibt es einige Arten von Proxy, die ausgehende Anfragen zufällig über mehrere IP-Adressen farmen. Je nach Umfang Ihrer Bewerbung kann dies Auswirkungen auf Sie haben oder nicht. Andere Proxies zeigen eine Menge Datenverkehr von einer einzigen IP.
Die letzte Anmeldezeit kann ebenfalls ein Problem sein. Berücksichtigen Sie die Cookie-basierte Authentifizierung, bei der Cookies zur Authentifizierung nicht persistent sind (eine gute Sache). Wenn der Browser abstürzt oder geschlossen wird, muss sich der Benutzer wieder anmelden, kann jedoch nicht bis zum Ablauf des Zeitlimits. Wenn die App für den Handel mit Aktien ist, kostet 20 Minuten nicht arbeiten Geld und ist wahrscheinlich inakzeptabel.
Normalerweise können intelligente Firewalls / Router gekauft werden, die einen besseren Job machen als Sie oder ich als Einzelanwender. Sie helfen auch, Replay-Angriffe, Cookie-Stehlen usw. zu verhindern und können so konfiguriert werden, dass sie neben Standardmechanismen in Ihrer bevorzugten Web-Plattform laufen.
In einer hochsicheren Anwendung müssen Sie möglicherweise dazu aufgefordert werden. Was Sie tun können, ist eine Anmeldeanzahl zu halten, die für den angemeldeten Benutzer und die IP-Adresse erhöht wird. Die Zählung sollte niemals 2 sein. Wenn es dann ist, loggt man die andere IP aus und wer auch immer in diese IP eingeloggt wird, wird rausgeworfen. Das wird nicht verhindern, dass Benutzer-1 Benutzer-2 seine Anmeldeinformationen gibt, es wird es nur frustrierend für Benutzer-1 machen, seine Arbeit zu tun, wenn sich Benutzer-2 an anderer Stelle zur gleichen Zeit anmeldet.
Ich habe noch nie eine Standardlösung für dieses Problem gefunden. In einer meiner Apps verwendete ich eine Kombination aus Javascript + Java, um sicherzustellen, dass ein Benutzer nur einmal von einer bestimmten IP (tatsächlich war es eine Sitzungs-ID) protokolliert werden konnte, im schlimmsten Fall jedoch für eine Zeitüberschreitung (auf 2 Minuten) war das Konto nicht verfügbar. Ich weiß nicht, warum es keinen gemeinsamen Weg gibt.
Ich hatte gerade dieses Problem.
Wir haben eine Drupal-Site erstellt, die eine Flex-App enthielt (vom Client erstellt), und er wollte Folgendes:
Er hat den Mist jeder Lösung getestet und am Ende haben wir das gemacht:
Diese Lösungen erfüllten die strengen Tests unseres Kunden (zwei Computer in seinem Haus ... er hielt uns stundenlang auf und fand kleine Lücken im Code, bevor wir zu dieser Lösung kamen)
Tags und Links security