¿Restrinja el acceso a la aplicación web REST a computadoras autorizadas?

3

He desarrollado una aplicación web REST. El cliente solo quiere que las computadoras autorizadas accedan a la aplicación. Hemos optado por la implementación TLS bidireccional en la que el cliente aprueba o rechaza las solicitudes de certificado.

Ahora el problema es que existen herramientas para extraer el certificado de la máquina, aunque el certificado se haya marcado como no exportable. Pensamos que utilizar el componente COM de CertEnroll para generar la CSR habría ayudado a evitar la exportación, pero no basta con marcar el certificado como no exportable.

Los requisitos son que solo las computadoras autorizadas pueden acceder a la aplicación y minimizar la copia de permisos tanto como sea posible.

Algunas opciones que he descartado:

  • Direcciones IP restringidas, hay usuarios internos que no queremos acceder a la aplicación.
  • Toma de huellas dactilares del navegador, no se puede garantizar que los usuarios provengan del navegador.
pregunta Dot Batch 15.11.2016 - 16:57
fuente

2 respuestas

1

Está intentando impedir que se copie un certificado desde una computadora a la que un atacante tiene acceso completo (ya que podrían ejecutar herramientas para extraer certificados no exportables) y al mismo tiempo tener el certificado accesible para que lo use. tu solicitud. Esto simplemente no es posible.

    
respondido por el Justin Gerhardt 16.11.2016 - 07:21
fuente
0

Dentro de las soluciones típicas del mundo HTTP / TLS / REST no, no es posible.

La única solución de sonido es hacer que la fuente de confianza del hardware (clave) sea única y asegurarse de elegir una que sea compatible con todos los navegadores.

La solución a medias es construir la autenticación sobre REST y requerir que tenga secretos conocidos por el hombre (contraseñas) para autenticar. La filtración de contraseñas puede estar vinculada a humanos, no a computadoras. Son igualmente fáciles de distribuir, sin embargo, una persona, no un sistema operativo, será responsable.

    
respondido por el Eugene 16.11.2016 - 13:50
fuente

Lea otras preguntas en las etiquetas