---

Jeg er igang med at udvikle et system, som stiller EKSTREMT skrappe krav til sikkerhed, og jeg har derfor brug for en måde at identificere en bruger på med 100% nøjagtighed - eller i hvertfald 99,99%.

Jeg har kigget på muligheder så som:
- IP-Adresse
- MAC-Adresse
- Cookies

Men ingen af dem dækker mit behov, da man kan skjule sin ip med en proxy, og MAC-adressen kan ikke findes, hvis brugeren sidder bag en firewall. Og cookies, ja, det er bare for usikkert.

Er der nogen som har et rigtig godt bud på hvad man ellers kunne anvende som unikt ID for en PC/bruger??????

/NeuRo

---

Hej NeuRo,

hvad slags system ska' du lave og hva' slags brugere ska' bruge det?

er det et lukket system? (eh... forstået på den måde at det kun er et fåtal af bruger der ka' eller ska' bruge det)

hva' slags emne omhandler systemet?

det vil gøre det lidt lettere at finde ud af noget, hvis det var muligt at få lidt mere at vide omkring det...

mvh.

Strarup

mvh.

Strarup

---

Er det i dit "eget" netværk eller skal det være igennem nettet ?
Jeg spørger idet jeg ligger inde med et "lille" program som går igennem de ting som du snakker om og giver dig oplysninger om HELE computerens opsætning/udstyr/hardware/software osv.

Det kan lægge på en lille floppy disk så stort kan man jo ikke kalde programmet *GG*

Hvis du vil have mig til at maile det til dig så kan du jo lige sige til eller over ICQ# måske

Hygge

Mvh
SANTA

---

Systemet er lukket i den forstand, at det kræver brugernavn/adgangskode for at man kan logge ind. Det er et Web Community, som kører i ASP/ASP.NET miljø på en IIS Server med .NET FrameWork. Systemet skal være skalerbart til at kunne håndterer rigtig mange brugere.

Men da jeg i nogle tilfælde skal have mulighed for at udelukke brugere fra systemet, har jeg brug for en måde hvorpå jeg kan identificerer den enkelte PC!

Nogen gode forslag?

/NeuRo

---

Ja, systemet ligger på Internettet, så det er ikke i et lukket netværk.

---

Hvis du står som administrator for netværket så kan du bruge PcAnywhere eller WinGate til at "styre/håndtere" dine klienter på netværket og så er du også ude over dit problem med en eventuel Firewall

---

Som svar på skriblerier nedfældet af NeuRo :

> Jeg er igang med at udvikle et system, som stiller EKSTREMT skrappe
> krav til sikkerhed

Definer venligst hvad du mener med sikkerhed, da dette kan være et vidt
begreb

mvh/Peter Lykkegaard

---

Hej NeuRo,

hva' slags bruger ska' udelukkes... bruger der er/har været medlemmer eller gerne vil blive det?

tja... en kombination måske... e-mail (ikke ofir/hotmail/yahoo eller andre gratis e-mail accounts) men ens personlige e-mail... ku' være en ide..

mht. til IP-nummere ka' disse selvfølgelig sløres via proxies m.m. men de ku' måske bruges alligevel i kombination med brugernavn og e-mail... (samt cookies)...

det er selvfølgelig lidt trælst set fra dit synspunkt du ikke ka' bruge MAC-adressen idet denne er unik... men set fra en brugers synspunkt er det nu meget rart...

en mulighed er evt. også at lave et certifikat... men det er jeg dog ikke lige så meget inde i hvordan man laver og håndtere sådanne, at jeg på stående fod ka' sige noget fornuftig om den løsning... men jeg ka' da prøve at finde ud af noget mht. certifikater og ASP...

men hvordan foregår processen hvor man bliver medlem til dit system/community?

mvh.

Strarup

---

"NeuRo" <NeuRo.news@kandu.dk> skrev i en meddelelse
news:rv1d9.50369$ww6.3591524@news010.worldonline.dk...
> Jeg er igang med at udvikle et system, som stiller EKSTREMT skrappe krav
> til sikkerhed, og jeg har derfor brug for en måde at identificere en
> bruger på med 100% nøjagtighed - eller i hvertfald 99,99%.
>
> Jeg har kigget på muligheder så som:
> - IP-Adresse
> - MAC-Adresse
> - Cookies
>
I vores firma benytter vi SecureID. Det er et lille plastikkort med et
display, der skifter et 6-cifret nummer ud hver 30. sekund tror jeg det er.
Man skal så når man logger på med sit brugernavn benytte det 6-cifrede
nummer, som serveren så checker om passer med brugernavnet på netop det
tidspunkt man logger på. I og med at password'et skifter hvert halve minut
og der er omkring 1 mio muligheder er det ganske svært at hacke. Ulempen er,
at det koster penge (jeg tror det ligger på omkring 1500,- om året pr.
licens)

/Henrik

---

STRARUP: Den type brugere som eventuelt skal kunne udelukkes fra systemet, er uønskede folk, som enten har lavet ballede eller bare ikke kan opfører sig ordentligt. Jeg vil i den forbindelse sikre mig, at der ikke kan logge andre på fra lige netop den PC!

Derfor har jeg brug for en måde at identificerer den på. Der er jo også problemet med at bruge IP-adressen. Hvad med dem som kører NAT/Firewall og bruger samme IP udadtil selvom de sidder mange i et netværk.

HENRIK:
Duer ikke ... Skal være gratis. Ellers en fed teknologi ;)

PETER LYKKEGÅRD:
Sikkerhed i den forstand at jeg skal kunne identificerer en bruger, så han/hun kan udelukkes fra systemet, som forklaret i ovenstående tekst.

SANTA002:
Duer ikke. :-/

---

STRARUP:
Processen er blot, at man tilmelder sig på en side, hvor man så får sent en e-mail man skal bekræfte med password osv. Så ALLE kan blive medlem af dette community.
Men nogle brugerere kunne være uønsket, hvis de kun er der for at lave ballade.

---

Ohhh men så kender jeg et sted som er en online chat / spille sted hvor der er forskellige personer/brugere (VIP brugere) som kan gå ind og pinge en brugers IP adresse og så kan personen enten "Mute eller Banne" den brugers IP adresse så personen ikke kan benytte sig af den chat i et bestemt tidsrum som VIP personen selv bestemmer !!!

Er det sådan noget du skal bruge ???

---

SANTA2002:
Det er lige præcis noget i den retning jeg skal bruge.
Men det er bare ikke nok at bruge IP, da man jo kan skjule sig bag en proxy også derved bruge chatten alligevel. Derfor søger jeg, hvis muligt, en anden og mere præcis måde at identificere PC'en på.

Hvis det er muligt altså?!

---

"NeuRo" <NeuRo.news@kandu.dk> wrote in message
news:rv1d9.50369$ww6.3591524@news010.worldonline.dk...
> Jeg er igang med at udvikle et system, som stiller EKSTREMT skrappe krav
> til sikkerhed, og jeg har derfor brug for en måde at identificere en
> bruger på med 100% nøjagtighed - eller i hvertfald 99,99%.
>
> Jeg har kigget på muligheder så som:
> - IP-Adresse

Du kan eksempelvis kombinere IP nummeret med noget MD5 verifikation ala
http://www.hinnerup.net/2002/experiments/md5/ og måske kaste noget Windows
Authentication oveni - så er du klar til at kalde dig nationalbank... ,-)

/Tobias

---

Tobias Hinnerup wrote in news:al2huu$48p$1@news.cybercity.dk:

>
> "NeuRo" <NeuRo.news@kandu.dk> wrote in message
> news:rv1d9.50369$ww6.3591524@news010.worldonline.dk...
>> Jeg er igang med at udvikle et system, som stiller EKSTREMT skrappe
>> krav til sikkerhed, og jeg har derfor brug for en måde at
>> identificere en bruger på med 100% nøjagtighed - eller i hvertfald
>> 99,99%.
>>
>> Jeg har kigget på muligheder så som:
>> - IP-Adresse
>
> Du kan eksempelvis kombinere IP nummeret med noget MD5 verifikation
> ala http://www.hinnerup.net/2002/experiments/md5/ og måske kaste noget
> Windows Authentication oveni - så er du klar til at kalde dig
> nationalbank... ,-)

det ser da sjovt ud ... men om jeg vil kalde det Nationalbanks-sikkerhed
er jeg nu ikke helt sikker på

Til gengæld vil jeg holde med Hr. Peter Lykkegaard, når han efterspørger
mere information. Uden en kvalificering af udtalelsen "skrappe krav til
sikkerhed", så er det stort set umuligt for os at udtale os (intelligent)
om emnet.

o:)

--
Jesper Stocholm
http://stocholm.dk
http://asp.stocholm.dk
Svar til gruppen og ikke til mig privat pr. email :|

---

Jeg arbejder lidt på at lave et forum, hvor jeg ønsker lidt af det du beskriver.

Ind til videre har jeg valgt at bruge et fædigt freewareprodukt fra http://forum.snitz.com/

Den sikkerhed der er der, er bl.a. at man kan udelukke nye brugere fra et eller flere forums, der er simpelthen en liste over hvilke personer der har rettighed til at se forum'et.

Jeg tror ikke du finder noget der er mere sikkert end cookies, uden at skulle lægge utrolig meget arbejde i det. Et alternativ kunne være at lave et lille VB-program der har en licens, der gør det muligt at åbne webstedet. Så kan du jo finde vedkommendes licens - og deaktivere det.

Held og lykke

/LEX

---

OK,
Jeg tror jeg har formularet mig lidt dårligt i mit spørgsmål. Det går ikke så meget udpå hvordan jeg sikrer mig at der ikke er uatoriseret adgang, da jeg har styr på den del af systemet.

Mit spørgsmål går på om der er en metode hvorpå jeg kan identificerer en PC, som ikke afhænger af IP, MAC eller Cookies?????

---

Og ... Metoden skal ikke kræve at jeg installerer noget (med accept fra brugeren selvfølgelig) på brugerens PC ... Da de fleste alligevel vil sige Nej til at få den slags installeret.

---

hejsa kan du ikke bare installer linux på den det har jeg hørt fra flere at de bruger da mvh oluf

---

BLUEBOY:
Hvad har Linux med dette at gøre??!?

---

Jeg tror desvære ikke der findes nogen måde at identificere en pc præcist på, udover MAC addressen på netkortet. Men igen kan man jo bare skifte netkort. Og cookies kan man slette, eller selv oprette. Og ip kan fakes i et vist omfang, og den er ret nem at sløre. Det jeg vil foreslå er at du bruger mac addressen også banner den og det nick og email personen havde. På et eller andet tidspunkt bliver den person træt af at købe nye netkort lave nye emails og finde på nye nicks..:)

---

XFACTOR:
Tak for dit svar.

Jeg havde håbet på, at det ville være muligt at gøre det på en anden måde, men synes nu alligevel din måde lyder meget god. Det er jo som du siger, begrænset på hvor lang tid en person gider at bruge på at oprette nye mailadresser, købe ny netkort osv. ;)

/NeuRo
                        

---

Hej Neuro,

eh... hvis du gerne vil ha' at nyhedsbrugerne ska' vide hvad det er du mener og vil, ska' du trykke på "skriv til nyhedsbruger", før de ka' læse beskeder herinde fra... idet de ikke er en del af kandu, og de ka' kun læse dit første spørgsmål/indlæg og så det andre nyhedsbrugere har skrevet... herinde fra Kandu ka' de kun læse det der bliver skrevet når der bliver brugt... "skriv til nyhedsbruger"...

dit indlæg består 2 steder... det herinde på Kandu og så et ude på nyhedsgruppen
"dk.edb.internet.webdesign.serverside.asp"... de beskeder der så kommer ude fra nyhedsgruppen bliver så en integreret del af tråden/indlægget herinde på Kandu... men beskeder herinde fra kommer kun ud til nyhedsgruppen ved at bruge "skriv til nyhedsbruger" ved siden af "kommentar fra nyhedsbruger"... så de har ikke andet at gå ud fra end dit første spørgsmål som du har stillet...

du ka' her se hvordan dit indlæg ser ud derude fra... -->
http://groups.google.com/groups?hl=da&lr=&ie=UTF-8&oe=UTF-8&threadm=rv1d9.50369%24ww6.3591524%40news010.worldonline.dk&rnum=1&prev=/groups%3Fhl%3Dda%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26q%3Dneuro%26meta%3Dgroup%253Ddk.edb.internet.webdesign.serverside.asp

mht. dit problem... tja... det er noget af en problematik...

idet jo flere restriktioner jo færre bruger... hvis du forstår...

jeg ka' komme med en del ideer... men der er både fordele og ulemper forbundet med det...

idet hva' nu hvis en bruger logger sig på fra en anden PC end lige sin egen... f.eks. fra biblioteket, arbejde, skole eller noget andet...

der ka' det gi' problemer med et certifikat f.eks. idet det jo ska' hentes ned på computeren og helst gerne kun sku' ku' bruges af denne ene bruger...

authentication ku' også være en ide, men det ka' igen være en ulempe hvis brugeren ska' ku' bruge en anden PC...

men en ide er at brugerene ikke må bruge e-mails fra f.eks. Hotmail/ofir og den slags e-mail tjenester... men kun må bruge deres personlige e-mail...
men det ka' f.eks. også gi' problemer idet hvis man f.eks. har sit eget domæne ka' man som regel oprette flere e-mails kontoer... eller fra arbejde, skole eller andet... bruge e-mailen derfra...

IP-banning ka' også medføre andre problemmer med sig, idet hvis der er flere bruger på samme netværk der er bruger på dit community, idet de ka' ha' en fælles global IP... selvom de har seperate computere internt i netværket...
samt selvfølgelig brugen af en proxy ka' gøre dette nytteløst...

og MAC adressen er jo som sagt også udelukket idet de fleste bruger idag sidder bag en firewall der blokkere for at denne vises...

så det er svært hvordan og hvorledes den ska' knækkes på bedste vis...

Ang. Authentication er der noget her... "Authentication in ASP .NET: .NET Security Guidance"... -->
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnbda/html/authaspdotnet.asp
men om der er noget af det der ka' bruges er en anden snak... jeg har ikke pløret mig igennem dette endnu...

så umiddelbart er den eneste måde hvorpå man ka' være helt sikker... vil vel være at sige...
1. brugeren må kun bruge sin egen PC
2. bruger ska' downloade og acceptere et certifikat

men alt i alt tvivler på at der så er nogen der vil bruge dette community hvis de får stukket sådanne regler i hovedet...

så der vel ikke andet en ens brugernavn og e-mail der sådan set ka' bannes, hvis man ikke ska' genere de andre brugere for meget... men det er sgu' noget af en nød at knække, samt svært at finde en balancegang, hvor man mindst muligt genere flertallet af brugere... idet disse bannede bruger jo ka' oprette sig selv igen...
men de vil få svært ved det hvis de ikke ka' bruge gratis e-mail tjenester...

håber ikke dette er blevet for rodet...

mvh.

Strarup

---

STRARUP:
ok, tak .. kigger lige på det authentication i .NET

---

du kan lave noget software som brugeren installer på sin computer (ligesom netbank) og derved og giver serveren rettigheder til at søge i det software efter id. og derefter kan man selv sætte krav til softwaren

Eftersom du ikke er logget ind i systemet, kan du ikke skrive et indlæg til dette spørgsmål.

Hvis du ikke allerede er registreret, kan du gratis blive medlem, ved at trykke på "Bliv medlem" ude i menuen.