Segurança num site

[Davide Ricardo 0]

Viva pessoal.

 

Tenho aqui uma pequena dúvida e precisava que me ajudassem sff.

 

Um cliente quer que o seu site de compras online, só possa ser acedido por um determinado utilizador registado, num só pc.

Ou seja, vocês fazem o registo no site e depois da admin do site aprovar o seu registo, só naquele pc onde voces efectuaram o registo é que podem fazer compras.

Ou então arranjar alguma maneira de instalar algum certificado etc, mas sem custos obviamente.

 

Alguma sugestão?

 

Obrigado

[Good 4]

Não tem como... a única maneira, seria pegando info do pc.. como IP.. mas muitos IPs são alterados automaticamente após reconectar...

 

que cara é esse que te pediu isso? ¬¬

 

na minha opinião, foi muita burrice dele.. e se o cara que criou a conta quiser acessar em outro computador, e se talvez ele tiver formatado o pc ou trocado de pc? Esse cara num pensou nisso não?

 

flw

[~TiuTalk~ 7]

O Good não está completamente correto... Existem formas de fazer isso... alguns sites de banco fazem isso e a Caixa faz isso sem dúvida.

 

Ela faz esse controle usando, se não me engano, um plugin de navegador ou um programa instalado no computador da pessoa mesmo, mas posso te garantir que isso não será feito com PHP... Pode pode procurar por outra linguagem de programação que integre o navegador e o sistema operacional do visitante como Java.

[Davide Ricardo 0]

Pode ser em Ajax. Tudo bem. Logo que funcione. Eu não sei é como.

[João Batista Neto 448]

alguns sites de banco fazem isso e a Caixa faz isso sem dúvida.

Sim, utilizando certificados digitais, você emite um certificado digital (utilizando OpenSSL por exemplo), instala na maquina do usuário e sempre que alguém acessar sua aplicação você solicita o certificado.

 

Simples e seguro.

 

;)

[Davide Ricardo 0]

Sim, utilizando certificados digitais

 

Boa, tks.

Onde posso encontrar exemplos disso? Paga-se para ter esse sistema?

[Williams Duarte 431]

http://openssl.org/

[Holt 1]

Acho dificil fazer isso funcionar ;S

Você poderia pegar o ip na hora do registro e comparar depois,

Mas dai vem o problema do ip dinamico...

Talvez com o endereço Mac mas não sei se da de pegar com uma página web...

Mas mesmo assim temos o problema da pessoas trocar de computador formatar ou trocar a placa de rede...

Tu pode falar pro cara que ele está louco não serviria pra nada um sistema desse a não ser em um banco...

[Holt 1]

Só expressando opinião não reclamem...

Ainda acho uma idéia tosca, se o cara criou a conta é que ele quer acessar de qualquer lugar...

Se ele troca de PC já ***** com o cara, além que parece que pelo jeito ele não conseguiria criar uma conta igual a anterior, com o mesmo nome, email o coisa do tipo...

[Davide Ricardo 0]

Encontrei isto, e parece-me que funciona:

 

<?
// LIMPA VARIAVEL IP
$ip = "";
// SE EXISTIR PEGA O IP DA REDE, SE NAO PEGA O IP REMOTO
$ip = ($_SERVER["HTTP_X_FORWARDED_FOR"] != '') ? $_SERVER["HTTP_X_FORWARDED_FOR"] : $_SERVER['REMOTE_ADDR'];
// MANDA UM PACOTE DE INFORMACAO
$ping = shell_exec("ping -c1 ".$ip."");
// ELE PROCURA SE NA LISTA DO ARP TEM ESSE IP E CAPTURA TODAS AS INFORMACOES
$output = shell_exec("arp -n ".$ip."");
// SEPARA A STRING DE SAIDA POR ESPACO EM BRANCO
$mac = preg_split("/\s+/",$output);

// MACS NUM ARRAY
$macs = array(
        "nome-1" => "00:00:00:00:00:1A",
        "nome-2" => "00:00:00:00:00:1B"
);

//COMPARA OS MACS DA PLACA COM O DO ARRAY
echo ($macs["nome-1"] == $mac[8]) ? "MAC TRUE" : "MAC FALSO";
?>

[Follow 0]

interessante... tem como capturar o mac do usuario que faz uma adição ou leitura/busca em um script e limitar o acesso após?

[Davide Ricardo 0]

interessante... tem como capturar o mac do usuario que faz uma adição ou leitura/busca em um script e limitar o acesso após?

 

O que eu vou fazer é registar o mac quando o utilizador fizer o registo e depois quando tentar fazer login, faço a verificação.

[Follow 0]

Isso me interessaria, no caso eu limitaria no meu scriptzinho que to fazendo, caso a pessoa ja tenha aberto a pagina 2 vezes somente no dia seguinte para acessar. como você mesmo disse só ip não adianta logar o mac tambem é fundamental. Se poderia me passar o fonte depois? so novato ainda to aprendendo

[Davide Ricardo 0]

Ok. Se eu conseguir fazer aqui kk coisa do género depois coloco o código.

Caso alguém seja mais rápido tb pode colocar. :P

Abc

[Williams Duarte 431]

Só expressando opinião não reclamem...

Ainda acho uma idéia tosca, se o cara criou a conta é que ele quer acessar de qualquer lugar...

Se ele troca de PC já ***** com o cara, além que parece que pelo jeito ele não conseguiria criar uma conta igual a anterior, com o mesmo nome, email o coisa do tipo...

 

 

Também concordo com esta opnião!

 

Agora se for fazer um sistema deste tipo, avise o usuário que ele não pode usar computadores públicos ou ter mais de um computador e terá que manter o mesmo pc pro resto da vida.

 

hehehe cada coisa!

 

obs.: Mac ADdress é para uso bem restrito e se for usar mesmo assim tem que liberar acesso a outras máquinas.

 

O correto e usar ssl

 

Eu particularmente só aceito complementos de sites com certificação digital e exclusivo de bancos. Por causa de minha grana hahahaha

[Follow 0]

No meu caso eu acharia util a limitação para evitar uns tipos de usuarios chatos que a gente bane o ip e entra com proxy...ban e um proxy pula para outro.

 

onde eu colocaria um echo para mostrar a atual?

 

aqui? $output = shell_exec("arp -n ".$ip."");

[Davide Ricardo 0]

Eu ainda nao consegui colocar isto a funcionar.. ele nao lista o mac..

 

WDuarte pode indicar algum exemplo como fazer uma cena dessas com o openSSL.. ou alguma coisa do genero?

 

Obrigado