Разное

Доступ к определенному разделу сайта осуществляется через авторизацию (логин, пароль).
Доступ предоставляется компаниям с несколькими компьютерами и несколькими десятками сотрудников.

Часто возникает ситуация, что сотрудник из компании уволился, но продолжает пользоваться доступом. Или сотрудниками был передан пароль третьим лицам и т.д. Вариантов масса.

Задача: запретить доступ третьим лицам без ведома админа сайта.

Привязать по ip не получится - ip может быть динамическим.

Что можно придумать умного?(

Вы бы определились, чужой компании Вы предоставляете доступ, или сотруднику такой компании?

Задача административная, не техническая.

Более подробнее.

Доступ к разделу платный. Один аккаунт может юзать только одна компания (и все ее сотрудники). Таких компаний много.

Но сотрудник компании может передать пароль "по знакомству" третьему лицу, не имеющему отношения к данной компании. Именно этого и нужно как-то избежать.

И задача именно техническая, административно ее решить невозможно.

Сейчас защита осуществляется следующим образом:

на машину пользователя устанавливается "кука идентификации". В куку записывается уникальный номер. Пока админ сайта не активирует этот номер, пользователь, даже зная пароль, не может попасть в раздел, т.к. в БД этот номер не активирован. Если кука удаляется (или еще не установлена) - то ставится новая кука с новым номером, который снова нужно активировать.

Защита вполне сносная, если бы не одно но. Для этих пользователей слова браузер и куки - ругательные. Они "лечат" комп от вирусов очисткой кук, удаляют, чтобы очистить место на диске и т.д. Причин у них масса. В связи с этим возникает швал звонков на техподдержку с просьбой активировать новый номер.

Вот и советуюсь, может кто-то что-то другое посоветует.

идентификация по сетчатке глаза

Супер. Код подскажете?)

2-2-3-3-2-2

.

С таким подходом бесполезно Вам что-либо советовать.

Почему и какой подход Вы имеете ввиду?

Например, если бы можно было без ActiveX считать какие-то уникальные данные о железе, то вопроса бы вообще не возникло.

>Почему и какой подход Вы имеете ввиду?
Вы не пытаетесь понять вопрос.

А вопрос заключается в том - кому Вы предоставляете доступ.
Если организации - подход один. Если человеку - подход другой.

Сейчас же Вы пытаетесь управлять доступом для компьютера (точнее для работы конкретного браузера в рамках учетной записи конкретного пользователя конкретного компьютера.)
Да и то, лишь до тех пор, пока его кукисный набор кто-нибудь куда-нибудь не перепишет.

>Вы не пытаетесь понять вопрос.
Мне показалось, что я ответил.

>Один аккаунт может юзать только одна компания (и все ее сотрудники). Таких компаний много.

Т.е. доступ предоставляется организациям (не одной, а большому количеству организаций).
У каждой организации свой уникальный логин и пароль. В организациях работают люди. Эти люди знают пароль доступа своей организации.

Т.е.
1. Организация "Веники": логин veniki пасс 12345
(пароль знают Петя, Вася, Коля)
2. Организация "Лопаты": логин lopati пасс 56789
(пароль знают Дима, Ваня, Лариса)
3. Организация "Совки": логин sovki пасс 34567
(пароль знают Инна, Маша, Даша)

У всех пользователей свой комп. На любом компе они вводят логин и пароль и получают доступ к разделу. Так было изначально.

Потом участились такие ситуации. Вася уволился из организации "Веники" и начал работать в компании "Чайники". "Чайники" не платят за доступ, а пользуются паролем "Веников". "Веники" поменяли пароль, но, видимо там остался человек, который сливает инфу Васе и Вася в "Чайниках" продолжает пользоваться доступом уже имея новый пароль.

>Сейчас же Вы пытаетесь управлять доступом для компьютера (точнее для работы конкретного >браузера в рамках учетной записи конкретного пользователя конкретного компьютера.)
>Да и то, лишь до тех пор, пока его кукисный набор кто-нибудь куда-нибудь не перепишет.

Совершенно верно. Иного выхода, увы, не вижу, вот и обратился за советом. Что касаемо кукисного набора, для подавляющего большинства - это нереально. Слова страшные, не то, что сделать. А единичные исключения - Бог с ними. Главное, массовость хотя бы исключить.

Можно даже на примере форума показать.

Вот у Вас есть логин и пароль. Предположим, что авторизовавшись под Ваши логином и паролем доступны какие-то уникальные данные.
Но Вы разрешаете заходить только еще двум пользователям, кроме себя.

Но Ваш логин и пароль попал к третьему лицу, о котором Вы даже не подозреваете и теперь он тоже может заходить в Ваш аккаунт.

Задача админа форума придумать что-то, чтобы зайти могли только Вы и те лица, которым Вы позволите. Об этих лицах Вы сообщаете админу...

>Можно даже на примере форума показать.
>
>Вот у Вас есть логин и пароль. Предположим, что авторизовавшись под Ваши логином и паролем доступны какие-то уникальные данные.

Вот эти самые логин и пароль меня аутентифицируют.
И в моих интересах, а) чтоб никто мой пароль не знал, (иначе он станет мной, а меня это совсем не улыбает) и б) буде такое случится, чтоб я мог как можно быстрее [попосить админа ] сделать мой эккаунт приостановленным.

>Но Вы разрешаете заходить только еще двум пользователям, кроме себя.
После того, как я на такое иду - я не делаю различий между собой и теми двумя.

>Задача админа форума придумать что-то, чтобы зайти могли только Вы и те лица, которым Вы позволите. Об этих лицах Вы сообщаете админу...

Если Вы хотите аутентифицировать живых людей ( а не эккаунты) - тогда и вправду смотрите в сторону биометрической идентификации.... Там хотя бы можно будет данные вычеркивать.

>буде такое случится, чтоб я мог как можно быстрее [попосить админа ]
Да вы знать об этом не будете. Человек только читает. Больше ничего не делает. Как вы об этом узнаете?

>>буде такое случится, чтоб я мог как можно быстрее [попосить админа ]
>Да вы знать об этом не будете. Человек только читает. Больше ничего не делает. Как вы об этом узнаете?

Если приспичит - это как раз реализуемо.
Сервер сообщает мне, когда и с какого IP я обратился к нему в предыдущий раз. И с какого IP - сейчас.
Если я поставлен в такие рамки, что отвечать за перехват логина/пароля мне придется чем-то болезненным - я буду вынужден следить за своими сессиями, записывать и проверять их.

Если приспичит - это как раз реализуемо.
Сервер сообщает мне, когда и с какого IP я обратился к нему в предыдущий раз. И с какого IP - сейчас.
Если я поставлен в такие рамки, что отвечать за перехват логина/пароля мне придется чем-то болезненным - я буду вынужден следить за своими сессиями, записывать и проверять их.

Trianon, поймите меня. Вопрос: "каким браузером вы пользуетесь" я задаю так: "у вас иконка интернета синенькая Е, красненькая О или желтенькая лисичка?" А пароли с требованием цифр и букв следующие "аа11". Если чуть сложнее создать и им вручать насильно, то они его пишут на стикер и клеят к монитору.

>Если Вы хотите аутентифицировать живых людей ( а не эккаунты) - тогда и вправду смотрите в >сторону биометрической идентификации.... Там хотя бы можно будет данные вычеркивать.

Вы издеваетесь?( Не смешно( Живые люди=их компьютер. Они ведь заходят не с Вашей машины, а со своей.
И зачем мне плодить аккаунты на каждого человека в отдельности, если это все равно не решает задачу. Простой вариант опознавать железо, но как без ActiveX?

железо-то не ваше.
Компы апгрейдят и меняют.
А периодически и утаскивают домой. :)

Если есть человек который сливает инфу... то вам ничего не поможет. Максимум делайте пароль на каждого члена организации и "предъявляйте" в случае утечки.
А доступ только из одного места (организации) или член организации может и из интернет кафе к вам зайти?

>Максимум делайте пароль на каждого члена организации и "предъявляйте" в случае утечки.
Как эту "утечку" обнаружить? В этом и вся соль. Сейчас идетификация по куке. Позвонил с контактного - активировали номер из куки. Не можешь позвонить с контактного - значит у тебя нелегальный доступ и зайти ты не сможешь, даже зная пароль.

>А доступ только из одного места (организации) или член организации может и из интернет >кафе к вам зайти?
Предположим, что из одного места (железо - одно и то же, но ip динамический)

>Т.е. доступ предоставляется организациям (не одной, а большому количеству организаций).
>У каждой организации свой уникальный логин и пароль. В организациях работают люди. Эти люди знают пароль доступа своей организации....

Это и далее было понятно из первого поста.

>Потом участились такие ситуации. Вася уволился из организации "Веники" и
И по событию из отдела кадров Веников администратор Веников обращается к Вам с просьбой сменить пароль, как скомпрометированный.

>"Веники" поменяли пароль, но, видимо там остался человек, который сливает инфу Васе и Вася в "Чайниках" продолжает пользоваться доступом уже имея новый пароль.

И клиент "Веники", как нарушивший контракт о предоставлении доступа к сервису, лишается оного.
Не человек, а компания.

Если бы доступ раздавался людям, то можно было бы пытаться искать какие то технические решения.
Гнать трафик через шлюзы , устанавливаемые в клиентских компаниях. Так, что шлюз аутентифицируется у Вашего сервиса, а клиенты - у самого шлюза. В этом случае часть административных функций можно было бы делегировать на места - администраторам компаний.

Но это уже частности.
Главное сказано выше. Решая такие задачи следует четко представлять себе кто и кому предоставляет доступ.

>И клиент "Веники", как нарушивший контракт о предоставлении доступа к сервису, лишается >оного.
>Не человек, а компания.

Вопрос в этом и заключается! Как выявить эту утечку?

Есть компания с динамическим ip адресом и 30 компами. Один день могут зайти все 30, а другой - ни одного. Как отследить, что доступом пользуются нелегально? Сейчас эту задачу выполняет кука, как Вы справедливо заметили, не на 100%, но выполняет. Но от побочных эффектов (удаление кук и звонки на техподдержку) - хочется избавиться

А что за проблема получить компании статический АйПи?))
Я так понимаю и выделенного сервера в этих компаниях нет)) (шлюзы о которых говорил Трианон)

>А что за проблема получить компании статический АйПи?))
Проблема? Нет, это не проблема для них. Они просто вообще не знают, что такое ip-адрес.

>Я так понимаю и выделенного сервера в этих компаниях нет)) (шлюзы о которых говорил Трианон)
Конечно же нет. Это вообще может быть один комп в офисе и один комп дома.
Вот и нужно разрешать заходить только с этих двух компов.
Или вообще ноут, которым чел подключается на работе, дома, на встрече в другой компании, в инет-кафе.

Чужая компания - не объект Вашей (как админа ресурса) ответственности. Вы не можете диктовать, чем ей в инет выходить и как подключаться.
Хотя в контракте можно оговорить и это.

включать-выключать пользователя.. вместо "активации куки"

по какому признаку?

>Чужая компания - не объект Вашей (как админа ресурса) ответственности. Вы не можете >диктовать, чем ей в инет выходить и как подключаться.
>Хотя в контракте можно оговорить и это.

Поэтому я и хочу решить проблему технически. Просто каким-то образом привязаться к конкретной машине. Тут уже оговорить с компаниями сей момент легко.

Может быть проще найти в каждой компании одно доверенное лицо и дать ему эккаунт с правом восстановления этой Вашей куки?
Без прав пользования самими ресурсами.
Звонки уйдут. :)

Тем самым персонифицировав ответственность.

Хотя в большинстве случаев опять же для чужого персонала это слишком сложно

>железо-то не ваше.
>Компы апгрейдят и меняют.
>А периодически и утаскивают домой. :)

Гораздо реже, чем чистят куки, как показывает практика.

Может быть проще найти в каждой компании одно доверенное лицо и дать ему эккаунт с правом восстановления этой Вашей куки?
Оно сейчас где-то так и есть. Но звонков все-равно тьма :(
вчера, например в 23:15:
"Зачем вы удалили ваш сайт с моего компьютера?"
Пока я понял, что от меня хотят, прошло секунд 40...
И объяснить человеку, что удалиться идентификатор мог только в случае очистки кук, оказалось нереальным. Сначала, что такое браузер, потом, что такое куки, потом как их очищать, потом претензия, что якобы он ниче не очищал, потом подзатыльник ребенку, за посещение порносайтов и "зачистку следов". Потом после ора "не было ни единого разрыва", наконец-то извинения и пожелания спокойной ночи, [цензура].
Это при том, что <h1> красным цветом указано рабочее время с 9 до 18. И не отключении телефона дело, а в решении проблемы в корне.

Поэтому и хочется уйти от кук, а придумать че-нить другое. Неудаляемые ж куки поставить нельзя...

Кстати, вспомнился один сайт. Там от бана "лечила" только переустановка винды.
Смена ip, браузера, очистка кук не спасала.

Потом кто-то выдвинул версию, что привязка идет к номеру какой-то стандартной виндовой проги. Например, виндовс-проигрыватель.

Такое возможно стандартными средствами?

Сейчас ваш вопрос звучит так: если у человека сделали дубликат ключа от квартиры, как об этом узнать? Естественно только по логу посещений. Причем, отслеживать это должен именно сам человек.
В противном случае, делайте так, чтобы ключи нельзя было легко скопировать: usb-dongle, "толстый" клиент и т.п. Те средства которые вы пытаетесь использовать для этого не подойдут.

Если бы вопрос был пустяковым, я бы вряд ли отнимал ваше время.
Сделать так, чтобы "ключи" нельзя было легко скопировать - маловероятно. Логин и пароль называется вслух и ВСЕ. Здесь никакая техническая защита не поможет.

Поэтому я и ищу способ "отслеживать логи". Причем, не пользователем, а именно админом.
В этом и заключается сложность вопроса.

Поставьте хоть стопицот замков на дверь, если хозяин решит кому-то дать дубликаты - то этот кто-то войдет. А вот если сделать замок-"отпечаток пальца", то тогда нет.

В моем случае "отпечатком пальца" являются какие-нибудь уникальные данные компьютера.
Номер винта, например, мак-адрес. (Понятно, что подделывается все или почти все. Я не ищу идеальную защиту. Но, во всяком случае, не будет массовости явления.)
И, если бы эти данные можно было считывать скриптом, то как сделать все остальное - я понимаю.

Даже считывание списка установленных плагинов и каких-то их уникальных данных (возможно?) серьезно бы облегчили задачу.

>Здесь никакая техническая защита не поможет.
Хотел бы посмотреть как среднестатистический юзер "легко" скопирует usb-dongle.

>Даже считывание списка установленных плагинов и каких-то их уникальных данных (возможно?) серьезно бы облегчили задачу.
Я вам уже ответил в предыдущем сообщении. Не вижу смысла повторять.

usb-dongle
По запросу в гугле - сплошные комплектующие. Пошлите, плиз, где почитать.

Само по себе он работать не будет - для него все равно нужна клиентская часть. А если все равно писать клиентскую часть, то вы ее можете запросто привязать к любому железу на компьютере пользователя. Dongle - это тяжелая артиллерия.