我意识到 mac 地址或机器 ID 不会通过 Internet 传输,但是,我想锁定我们基于订阅的网站安全性,以便只有特定的计算机可以注册并访问其资源。
大型组织将订阅我们的服务,毫无疑问,他们的组织将拥有多个 ip。同样,我们希望他们的合格员工能够在其实体组织之外的设备上访问该网站(用于公路旅行演示等)。
是否有可靠的方法来实现这一目标(除了分配给每个帐户的用户名/密码)?如果没有,最有效的方法是什么?
问问题
5093 次
2 回答
2
您不想通过 IP 限制访问,而是想使用实际上安全的东西。
HTTPS 连接上的用户名和密码至少应该是不可嗅探的,但您可能需要查看客户端 SSL 证书。它们可以在 Apache或其他 Web 服务器软件中进行配置。如果用户名/密码验证还不够,这是下一步(也许是最后一步)。
更新:
也就是说,许多应用程序提供商会做的是为订阅者提供一种为其帐户实施 ACL 的方法。您甚至可以强制人们在允许他们访问您的服务之前考虑他们的 ACL。这样想:
- 在您的系统中设置了一个帐户,允许从任何地方登录。创建后,ACL 为 UNSET。
- 用户登录并立即被定向到 ACL 设置页面,他们必须在其中提供与其帐户关联的 IP 地址或范围或子网。您可以很聪明地使用他们现有的 IP 地址或子网预先填充内容,甚至可以在 ARIN 上查找内容以查看他们的 IP 是否在分配给他们帐户上的公司名称的网络中。
- 一旦设置了 ACL(或者尽管您发出警告,他们已经确认他们希望保持 ACL 处于打开状态),他们就可以访问您的服务。
- 如果他们尝试从其他地方登录,他们(和您)会通过电子邮件(或 SMS 或其他方式)收到有关企图入侵的通知。
- 如果他们不再能够访问其 ACL 列出的 IP(即,由于新的上游 Internet 提供商和糟糕的计划,IP 重新编号),他们可以致电您的电话支持,他们将通过其他方式对其进行验证。可能是传真确认,因为那太安全了……
用户管理的 ACL 不是“万无一失”的方式,但它可能对您的需求足够有效,而且它肯定会向您的客户灌输一种感觉,即您将他们的最大利益放在心上。
于 2012-11-07T18:59:42.523 回答
0
没有万无一失的方法。这是网络的本质。您接受来自远程机器的数据,并且您必须至少在某种程度上信任它。
采用简单的用户名/密码方法。如果用户名和密码匹配,您必须相信它们是由用户名和密码所针对的人输入的。如果您需要客户端发送更多数据,这不会从根本上改变。
于 2012-11-07T18:57:22.560 回答