iT邦幫忙

1

基於證書驗證的網頁應用

我想寫一個網頁應用,是綁定設備的,只有特定的Windows電腦才能使用它。
目前我只想到基於憑證的驗證方案可以符合我的需求,但是這樣似乎意味著我必須建立自己的PKI系統並且維護它,或是其他CA背書的PKI,兩者都覺得挺麻煩的(後者應該超貴)....
有什麼其他方案可以驗證設備嗎,基於IP的方案不可行....

看更多先前的討論...收起先前的討論...
froce iT邦高手 1 級 ‧ 2018-01-05 12:49:08 檢舉
https://github.com/biggora/device-uuid
類似這個?
不過看起來還是證書或是乾脆用自然人憑證安全。
黃彥儒 iT邦好手 1 級 ‧ 2018-01-05 12:54:49 檢舉
我總不能就把我的自然人插在上面吧= =
自然人不是基於設備的管理,我想我還是只能自己生PKI了@@
weiclin iT邦高手 4 級 ‧ 2018-01-05 13:14:32 檢舉
是不知道你所謂的綁定設備要綁到什麼程度, 要連硬體也綁?
看看這邊有沒有合用的: http://www.pronew.com.tw/products.php
黃彥儒 iT邦好手 1 級 ‧ 2018-01-05 13:18:08 檢舉
weiclin大,只要不能複製就好了,原先想到就是匯入憑證然後設成不可匯出
WIN CA => 這不是可以自己蓋,然後自己產生,自己匯入,只要憑證不外洩,就還算蠻安全的做法
還有整合 AD 認證也是一種方法,網站結合 AD帳號認證
我知道某些SSL憑證一年要幾十萬,便宜的也要好幾千,自己蓋的那個SERVER 的費用便宜的一次打死,不然就是買大量授權兩年更新一次
weiclin iT邦高手 4 級 ‧ 2018-01-05 13:42:35 檢舉
我指的綁硬體, 例如說有人把系統硬碟拿去複製一份開機, 會不會就得到有憑證的系統了? 你的設備都在良好的管理下, 還是會出現在一些難以控管的空間? 你的網頁應用值得花多少成本去保護?
黃彥儒 iT邦好手 1 級 ‧ 2018-01-05 13:47:58 檢舉
我是學生,我寫的網頁應用將有權重設除了管理階層的使用者帳戶密碼;上面是說綁IP就好= =但是我想要讓它安全一些
在上面不想花成本的前提下,能弄多安全就盡力處理吧
weiclin大推薦的那個網址,我覺得智慧卡應該是較低廉的解決方案
weiclin iT邦高手 4 級 ‧ 2018-01-05 14:27:32 檢舉
有點好奇你畢業後這個 PKI 要交給誰維護?
黃彥儒 iT邦好手 1 級 ‧ 2018-01-05 14:31:41 檢舉
讓他炸嚕@@,手邊是有一枚Yubikey可以玩PKI啦...
學Teamview@@~
紀錄硬碟序號、主機板序號、Window序號~
只要變更就失效~
黃彥儒 iT邦好手 1 級 ‧ 2018-01-05 14:49:50 檢舉
網頁應用程式做得到嗎
限單機..或者網頁要更高權限~例如IE的activex
froce iT邦高手 1 級 ‧ 2018-01-05 16:36:25 檢舉
感覺你想做的在現行browser下要達到很困難。
除非像自然人憑證一樣,寫個底層的service,然後去取得電腦硬體的序號去做hash,再透過網頁送出。

但是這樣你不如直接做單機版client軟體就好。
黃彥儒 iT邦好手 1 級 ‧ 2018-01-05 20:23:49 檢舉
那套系統可以拿來重設超級管理員以外的學校使用者密碼耶....單機有點不知道如何下手
怕系統憑證整個悲劇,所以才做成前後端分離
froce iT邦高手 1 級 ‧ 2018-01-06 10:00:00 檢舉
我的意思是你寫個client軟體,裡面可以get硬體的各種序號,例如硬碟的,通過了然後才能連上server去改你系統的設定。

要不然憑證的話,硬碟整顆拷貝還不是一樣?還不如直接用智慧卡或自然人憑證做帳號認證安全。

brower因為安全性的問題,這些底層的資訊是沒辦法直接取得的,除非想辦法介接。

2 個回答

3
raytracy
iT邦大神 1 級 ‧ 2018-01-05 14:38:54

「重設使用者帳戶密碼」
是授權給人管理, 還是授權給電腦管理?
我的意思是說, 這件事情應該由人來同意? 還是由電腦同意?

如果由電腦來同意的話, 授權變成是:
特定電腦+任何人
特定電腦+特定人

如果由人來同意的話, 授權應該是:
任何電腦+特定人
特定電腦+特定人

如果你只處理前面的特定電腦, 卻沒有限定後面的人,
那不就是: 任何擁有密碼的人人只要走到電腦前面, 都可以授權?

綁人若用密碼當然不可靠, 憑證可以拷貝也不可靠(除非你加密碼), 唯一可靠的只有 MFA 或 2FA, 簡單做可以用手機+OTP 或 Google Authenticator (假設你們都有 Google 帳號的話)...

黃彥儒 iT邦好手 1 級 ‧ 2018-01-05 14:42:52 檢舉

綁特定電腦+任意人,但是電腦位於管制區(櫃台後面@@)
憑證有考慮綁設備,像是Yubikey OTP或是PIV....
剛好手邊有,開發也不困難,但是小貴QQ

牛哥 iT邦好手 1 級 ‧ 2018-01-12 11:22:45 檢舉

受教了!
感謝~

0
haoming
iT邦好手 1 級 ‧ 2018-01-08 16:49:25

基於以上的討論串.. 如果用
內網ip + 外網ip 產生 hash key 然後用這個 hash key 產生 pki (guid) 是否可行??

haoming iT邦好手 1 級 ‧ 2018-01-08 16:50:35 檢舉

不過缺點 device 搬家 就要 重新 產生 token 了 ..

我要發表回答

立即登入回答