我正在实施绑定到特定桌面的教室签到系统。不幸的是,我所拥有的只是一个面向公众的网络服务器,并且不希望学生能够复制检查 url 并伪造签到,或使用员工凭据登录并访问网站上的其他工具。此外,计算机位于网络上,它们 DHCP 会定期重新分配 IP,因此固定在 IP 上并不是客户端验证的可靠方法。所以我在想evercookies,我可以让工作人员从计算机登录签入网站设置一个evercookie然后注销,以防止使用lat登录访问网站上的其他工具。当签入站点加载时,它会检查evercookie,只要满足某个阈值,就会显示签入页面。这具有绕过 php/apache' 的额外好处
还是我找错了树,有更好的方法来指纹识别授权客户?
依赖 evercookie 会让您面临 cookie 劫持的风险。
在您的情况下,有人可能会窃取 evercookie id,并从另一台机器上使用它,使您的应用程序相信它正在接收来自某个特定桌面的请求,而实际上并非如此。evercookie id 可能会被老练的用户直接从机器上窃取。
在这种情况下,使用强 cookie id、强哈希、大量熵等都无济于事。
更改 evercookie 标识符通常会使任何以前被盗的 cookie 无效。但是,这将需要有人手动干预以定期重新生成 cookie。这可以是自动化的,并且更新的 cookie ID 可以通过安全连接使用自定义软件推送到您的服务器,但这会增加软件被盗并在另一台机器上使用的可能性。
根据经验,依靠客户端来唯一标识自己是不可靠的。
如果您的 IP 地址是通过 DHCP 分配的,但来自一些可预测的集合,您可以根据已知的 IP 范围实施 IP 检查。
您可以在机器上部署自定义软件并从服务器“握手”到它。它可以根据硬盘驱动器序列号、MAC 地址等生成唯一 ID。但是,您的自定义软件可能会被老练的用户窃取并安装在其他地方,或者进行逆向工程。