kostenloser Webspace werbefrei: lima-city


Webseite nur für bestimmte Clients anzeigen

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    javaphp

    Kostenloser Webspace von javaphp

    javaphp hat kostenlosen Webspace.

    Hallo Lima-City,

    ich stehe gerade vor folgender Herausforderung.
    Ich habe eine Webseite die nur von (zehn) Client Geräten verwendet werden soll.

    Wie mache ich es, dass auch wirklich nur diese ausgewählten Geräte den Inhalt sehen können?
    Die ausgewählten Geräte sind stationär und immer am gleichen Platz.

    Macht man das mit IP-Whitelisting?
    Kann so ein IP-Blocking umgangen werden?
    Was ist für so einen Anwendungsfall sinnvoll?
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Das sollte am beste mit einem vorgeschaltetem Proxy funktionieren.

    Beitrag zuletzt geändert: 7.9.2016 11:30:01 von autobert
  4. mein-wunschname

    mein-wunschname hat kostenlosen Webspace.

    In den meisten Fällen hat man als Otto-Normal-Nutzer einen Inetrnetzugang, bei dem sich nach spätestens 24h die IP ändert. Zwar teilen die Anbieter die IP aus einem Nummernkreis zu, den man dann auch (z.B. per .htaccess oder Serverkonfiguration) whitelisten kann, aber 1. müsstest du den bzw. die Nummernkreise exakt bestimmen und 2. wäre ja dann die website auch für alle anderen Internetnutzer deines IP-Nummernkreises offen.

    Eine auf den ersten Blick etwas kuriose Lösung wäre über die Browserkennung. Man kann ja auch über htaccess, php bzw. Serverkonfiguration bestimmte Browser über ihre Kennung ausschließen oder nur bestimmte zulassen. Du brauchst also nur für deinen Browser eine bestimmte (möglichst abwegige) Kennung festzulegen (geht z.B. beim FF mit dem User Agent Switcher) und in der .htaccess als einzig zulässige eintragen.

    User Agent Switcher gibt es aber wohl nur für die Desktop-Version des FF.
  5. Autor dieses Themas

    javaphp

    Kostenloser Webspace von javaphp

    javaphp hat kostenlosen Webspace.

    Das Problem welches ich bei der "Browsererkennung" sehe ist noch folgendes:
    Sollte irgendjemand meine abwegige Kennung herausfinden, dann kann er diese kopieren und sich als ein "valides" Gerät ausgeben. Für mich hört sich das an wie "Security by obscurity" :slant:
    Damit kann man nicht argumentieren, dass sein System zu 100% nur auf den besagten Clients funktioniert.


    Wenn ich einen Proxy dazwischenschalte, dann habe ich eine weitere Fehlerquelle die ausfallen kann. Das würde also bedeuten, dass die gesamte Webseite nicht erreichbar ist - "nur" weil der Proxy ausgefallen ist.
    Liegt der Vorteil eines Proxys nur bei der fixen IP-Adresse, oder übersehe ich da etwas?
  6. Warum machst du es nicht traditionell mit einem Passwortschutz? Das kannst du auch per Cookie speichern und hast quasi den gleichen Effekt wie mit der Browserkennung, nur vielleicht ein bisschen einfacher zu realisieren.

    Was den Proxy betrifft: Für den müsste man ja auch wieder irgendeine Art Passwortschutz anwenden, damit nicht irgendjemand darüber auf die Seite zugreifen kann; letztlich verschiebt man das Problem nur. Außerdem kostet ein Proxy etwas (oder gibt es das jetzt auch schon frei im Internet zu mieten).

    EDIT: Die 100%-ige Sicherheit, dass es nur auf den entsprechenden Clients läuft hast du natürlich auch mit der Passwort-Methode nicht. Generell wird es aber immer irgendeine Möglichkeit geben in das System zu gelangen - die 100% Sicherheit sind nie gegeben.

    mfg
    Jonas

    Beitrag zuletzt geändert: 7.9.2016 16:38:46 von jonas-bayer
  7. Ist die Seite nur im internen Netz zugänglich oder auch via Internet?
  8. Vielleicht würde es helfen uns zu sagen, warum das so sein muss.

    Soweit ich das beurteilen kann werde das effektivste momentan wohl folgendes:

    Ein eigener Client für die Webseite, der bei der Installation ein Passwort braucht (das von dir eingegeben wird) welches danach nicht mehr (ohne erheblichen Aufwand) ausgelesen werden kann. Beim Browser kann man sich afaik ja immer die gespeicherten Passwörter ansehen.

    Wer die Applikation dann auf nen anderen Rechner kopiert hat das Passwort nicht mehr.
  9. Autor dieses Themas

    javaphp

    Kostenloser Webspace von javaphp

    javaphp hat kostenlosen Webspace.

    Die Seite soll öffentlich zugänglich sein, also KEIN Intranet.

    Ein Passwortschutz geht deshalb nicht, weil dann jeder der das Passwort weiß auch von einem beliebigen anderen Client auf die Seite zugreifen kann. Das soll er aber nicht.

    Die Seite soll wirklich nur von einem bestimmten Endgerät benutzbar sein, welches sich im Idealfall dynamisch einstellen lässt.


    Der Ablauf wäre also folgender:
    - Es wird irgendwo ein Endgerät aufgestellt.
    - Es wird beim Server irgendwie definiert, dass nur dieses Endgerät darauf zugreifen kann.
    - Dieses Endgerät wird dann von mehreren Personen benutzt, die sich per Passwortschutz auf ihrem Konto anmelden können.
    - Vor diesem Passwortschutz werden aber sensible Personendaten angezeigt, die nicht öffentlich zugänglich sein sollen.


    Ich hoffe es ist nun etwas klarer was mein Problem ist.
  10. Auch für die dynamischen Endgeräte würde ich wieder eine eigene Applikation empfehlen:

    Eine Client-Applikation, die sich am Server anmeldet, du drückst dort dann auf "OK", dann kann ein User sich in das System einloggen.


    Mit einer Webseite wirst du das nicht erreichen können (naja, außer eben du rufst sie über einen eigenen Client auf, dann müsstest du aber noch sehen wie du die Webseite nur über den Client erreichbar machst).
  11. s****p

    javaphp schrieb:
    Die Seite soll wirklich nur von einem bestimmten Endgerät benutzbar sein, welches sich im Idealfall dynamisch einstellen lässt.


    Der Ablauf wäre also folgender:
    - Es wird irgendwo ein Endgerät aufgestellt.
    - Es wird beim Server irgendwie definiert, dass nur dieses Endgerät darauf zugreifen kann.



    Regel das doch über Clientzertifikate:
  12. Autor dieses Themas

    javaphp

    Kostenloser Webspace von javaphp

    javaphp hat kostenlosen Webspace.

    Ich wusste nicht, dass es Clientzertifikate gibt :) das werd ich mir einmal genauer ansehen müssen.


    Angenommen jeder Client hat eine fixe IP-Adresse. Wäre dann ein IP-Whitelisting möglich?
  13. s****p

    möglich ist fast alles,

    jedoch lege ich dir für das von dir genannte folgenden link ans herz:

    http://wiki.cacert.org/ApacheServerClientCertificateAuthentication
  14. Afaik ist doch der Zugriff auf den Zertifikatsspeicher für Authentifizierung über HTTP an den Nutzer gebunden und nicht an den Rechner, oder?
  15. s****p

    die Certificate werden im Browser installiert, das ist richtig.
    ich sehe aber kein zwingenden grund, nicht jedem benutrzer welcher sich am system anmeldet das cert zu installieren.
    soweit ich weiss steht das cert dem user auf einem anderen system nicht zur verfügung.

    sollte man testen.

    sonst nehme man vpn.


    update:
    wenn man mir erklären könnte wieso ich hier eine neg. bewertung gekriegt habe, es hiolft mir sicher weiter.



    Beitrag zuletzt geändert: 9.9.2016 17:31:10 von strlcp
  16. javaphp schrieb:
    Angenommen jeder Client hat eine fixe IP-Adresse. Wäre dann ein IP-Whitelisting möglich?

    Das wäre u.U. eine Möglichkeit.
    Was für Möglichkeiten hast du denn am Server und am Client selbst und unter welchem OS laufen die denn überhaupt?
    Ein Service auf den entsprechenden Clients der via SSH beim Boot einen Tunnel aufmacht würde ja auch schon reichen. Da ists auch relativ egal ob die Rechner einzeln betrieben werden oder nem AD hängen.

    strlcp schrieb:
    soweit ich weiss steht das cert dem user auf einem anderen system nicht zur verfügung.

    Im AD dagegen war es meines Wissens nach so (Stand 2005) dass natürlich auch die Zertifikate dem User auf allen Rechnern zur Verfügung stehen.
    Wenn dagegen keine zentrale Verwaltung der Nutzerkonten existiert dann natürlich, dann gibt es zwischem dem Nutzer "test" auf Rechner A ja auch keine Verbindung zum Nutzer "test" auf Rechner B.

    strlcp schrieb:
    wenn man mir erklären könnte wieso ich hier eine neg. bewertung gekriegt habe, es hiolft mir sicher weiter.

    Vermutlich weil er - wie hier ja schon öfters festgestellt wurde - einen Client authentifizieren will und keinen User.
    Und dein Zertifikats-Vorschlag ist eben wieder auf Userbasis.
  17. Auf dem Client ein verschlüsseltes Cookie ablegen und auf dem Server den User Agent vergleichen (enthält Betriebssystem, Version, verwendeten Browser, ...)

    Ohne Aufwand lassen sich die Clients leider nicht identifizieren.

    Beitrag zuletzt geändert: 4.3.2017 18:00:30 von web7
  18. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!