Validando um usuário através da máquina dele.

[Sanderson 0]

Montei um sistema em PHP que esta dentro de um servidor na WEB, a validação do cliente é feita hoje da forma padrão "USUÁRIO E SENHA", mais isso só não basta para gerar a consistencia que preciso, inicialmente eu pensei em usar o endereço fisica da placa de rede do mesmo "endereço MAC" mais não estou conseguindo pegar o valor da mesma, se alguém suber a forma correta de fazer isso favor me dizer, já esta 50 a 0 para máquina.Agora se alguem tem alguma idea boa de como posso validar este usuário que esta conectando no banco, se realmente ele é ele mesmo, favor me fale. Esta ideia acima é uma, mais deve existe uma forma mais simples de fazer esta validação e como eu sempre digo "não existe o impossivel, impossivél é ficarmos sem tentar...", por isso preciso de ideias para me ajudar a pensar.Valeu pessoal !!!

[rockbilly 0]

kra, isso é meio complicado, mas espero que alguem lhe ajude, você poderia pegá-lo pelo numero IP, mas se ele conectar com IP dinamico você não teria como fazer esse controle, da mesma forma com endereço MAC, e ainda se ele nao estiver usando placa de rede shingLing (aquelas com n° MACs iguais), aí que você nao conseguiria mesmo ter o controle. enfim... meio tosco esse problem!abrs.

[Sanderson 0]

Será que existe alguma variavel de ambiente no servidor que me retorne ou guarde algum valor fixo do usuário que esta acessando ele ?

[Sanderson 0]

rockbilly todas as máquinas que irão acessar a aplicação será via internet, realmente pelo IP não tem jeito pq o mesmo é dinamico, máis agora que você me disse que placas shingLing tem nºs iguais ferrou de vez, acho que por estar diante da questão (pressão da minha equipe) não estou conseguindo ver uma solução mais tranquila.tá complicado !!! :unsure:

[walace 1]

Me corrijam se eu estiver enganado, você terá, por exemplo o usuário Paulo que terá acesso a este teu sistema, mas terá que ser "sempre" da mesma máquina também ?Pois se você quiser usar, ip, endereço mac ou qualquer coisa da máquina também estará restringindo máquinas...é isso mesmo ?!?

[Sanderson 0]

walace, na verdade esta ideia eu tb não gostei muito mais o pessoal dak estava avaliando esta possibilidade, acredito que se é na internet eu como cliente não quero ficar limitado a acessa de apenas X máquinas que eu definir, quero ter flexibilidade, mais ao mesmo tempo eu como gerente da aplicação não estou conseguindo imaginar uma forma de que: Por exemplo. tenho acesso ao sistema e este funciona por demanda (pago por quantidade de bytes armazenados no server) se eu quiser que mais alguem use este servidor (ver alguma informação ou extrair dados isso dentro do mesmo escritorio "empresa") sem que o gerente de saiba é só eu passar minha senha para pessoa é boa. Eu tenho como missão não permitir que outra pessoa use esta senha sem pagar o acesso. Coisa dificil esta... você tem alguma ideia ?

[walace 1]

Pô que estranho e complicado isso meu...acho que teria que ter alguma coisa que fosse variável, tipo mudasse semanalmente e fosse passada só para o usuário, tipo um codigo de acesso para cada semana.Na verdade você está com um problemão cara !Se me ocorrer mais alguma coisa te falo.

[Alisson Rodrigues 3]

Talvez se fizesse pra que o usuário não escolha uma senha, e sim gerar uma automaticamente, a cada semana, ela mudasse automaticamente e mandasse um e-mail para o e-mail do cadastro, ;)

[walace 1]

Aí ó seu Sanderson, conversando a gente vai chegando a um ponto comum !Mas você está notando que mesmo para o caminho que estamos indo nada impede que ao receber a notificação com a senha ou codigo de acesso o usuário a repasse para terceiros.Conversando com o pessoal de meu trabalho surgiu a idéia de fazer com que o usuário além de seu codigo e senha tenha também que entrar com outro dado "pessoal" e aleatório, tipo cpf, identidade, telefone, uma pergunta...Mais ou menos como se tem nos bancos.Mas mesmo assim será vulnerável.

[Alisson Rodrigues 3]

Bom, no caso de enviar a senha pro e-mail, talvez poderia ajudar um pouco, pois ele teria que repassar a senha nova a cada semana, já seria alguma coisa pra atrapa-los hehe, mas acredito que com um dado a mais, como o cpf, ele não iria passa-lo para os outros.

[Alisson Rodrigues 3]

Tava pensando aqui, de pegar o endereço IP do servidor e gravá-lo no db, aí só pessoas que tiver o IP do server que fez o cadastro vão poder usar, isso não tira todas as possíbilidades, mas pelo menos os que não forem do mesmo provedor não vão poder entrar. :D

[Sanderson 0]

Gostei da ideia do CPF, vou fazer um beta assim e estava pensando também o seguinte, vou dificultar para esta pessoal da seguinte forma, ele só vai poder conectar no sistema uma vez (sendo assim como ele vai disponibilizar sua senha, e se ele precisar ? vai garrar !!!) e a outra coisa é a base de cobrança do sistema que é a quantidade de informação + mensalidade sendo que toda vez que ele estiver logado e gravar alguma coisa será debitado (no login dele) o valor de alocação no HD (já discutido em contrato, hj ele é fixo, mais podemos pensar em algo). Hj eu já pago esta alocação então será apenas um repasse.Gostei...você acham viável o que esta descrito acima ?Pessoal valeu pela ajuda mesmo, se tiverem ou ideia será muito bem vinda !!!Obrigado.

[rockbilly 0]

A idéia do walace é muito boa, pegar pelo CPF, assim também como a do prescot, de adicionar no servidor os determinados numeros IPs que terão acesso.... so o ruim é que seria trabalhoso ficar adicionando os numeros se forem muitos clientes! Enfim... já sairam algumas boas soluções!abrs.

[walace 1]

Mas imagine que para o usuário ter acesso ele tem um cadastro e neste já consta cpf, rg, telefone, enfim os dados pessoais, neste cadastro você pode colocar alguns outros dados, tipo filiação, conjuge, música preferida, esporte, nome do papagaio, etc, etc e etc.

[emanuel fonseca 0]

Na minha modesta opinião isso não basta. Acho que algum código randomico gerado a partir do cpf da pessoa. tipo se o final do cpf do kra tiver o final 123456 c/ rand() , aqui no teste 13093 + data 011203 que daria 24296 , a data muda todos os dias e por isso se torna um ótimo vetor. Com isso você tem um ótimo código que pode utilizar de diversas formas. Se quiser melhor , adicione uma fórmula do tipo a soma dos dois primeiros com os dois ultimos, subtraindo o do meio. Assim ´somente o kra vai saber como funciona. Existem n formas de fazer isso. Espero ter contribuido :D

[Alisson Rodrigues 3]

O problema é se o cara QUISER passar sua senha (senha e tudo mais que precisar pra fazer o logon) pra outras as pessoas.

[emanuel fonseca 0]

O problema é se o cara QUISER passar sua senha (senha e tudo mais que precisar pra fazer o logon) pra outras as pessoas.

Se o kra quiser ele pode passar o cpf pro kra tb. Uma vez (1994) testei um game pra pc que a cada dia tinha um código novo, ele funcionava através de um cálculo. A idéia q dei pode ser aproveitada de forma q seja enviado diariamente um novo código de acesso. Dae ele teria q dar todo dia uma senha, ou então dar a senha do próprio email. Mais seguro do q cpf, pq cpf é apenas mais um numero q pode ser passado a outrem.

[walace 1]

a idéia do emanuel é muito boa, com certeza se precisar vou usar isso um dia.Mas... pensem no lado do usuário, se cada vez que você precisar acessar o IMasters ou seu banco tivesse que entrar no seu e-mail primeiro, ver a senha, e depois acessar o site...... e se der algum pau no meio do caminho, tipo o e-mail não chegar por qualquer motivo... daí o usuário não terá acesso ao site neste dia ?!? <_< :huh: é de quebrar a cabela mesmo !

[Alisson Rodrigues 3]

Isso que eu digo, o único jeito e identificando pela máquina, com número IP não tem jeito, pois alguns não são fixos, se existisse um outro tipo de identificação...

[Sanderson 0]

Pessoal com certeza você's me deram excelentes ideias, de cada uma tentarei aproveitar a logica em si, mais de uma sei que terei que tirar de cabeça, baseando que eu fosse o usuario, e isso aconteceu este fim de semana, estava eu tomando passeando no fim de semana quando recebi a ligação de um usuário me solicitando que ajudasse a usar um procedimento, tive que procurar o primeiro Cyber Café para poder ajuda-lo, se eu amarasse esta máquina não poderia ter feito este apoio, apesar de que seria muito pratica em outra aplicação que tenho, agora, me falaram cookies (fora daqui), mais esta forma não poderia ser por que os mesmos não são permantes e nem todos os usuário deixam eles ativos, gostei do conceito do Emanuel, muito inteligente mais não poderia enviar todo dia um e-mail para todos, são proximos de 1000 clientes, teria que ter muita precisão e sabe que todos receberam os mesmo, só que alguns ficam fora do local de trabalho e acessam como eu fiz no fim de semana.Mais se pintar algo mais será ótimo por que todos estamos ganhado com estas ideias, e mais uma vez obrigado pela força. :) ;)