Single-Sign-On und verschiedene Browser?

**schmalle** · 07.05.2004, 09:09

Mir fällt dazu nur ein, mir die IP zu speichern und abzufragen, ob es eine Session zu dieser IP gibt, aber das ist ja nicht das Gelbe vom Ei, vor allem im Extranet...

Nanana, das willst Du doch nicht wirklich dem armen Kunden erzählen?

Entweder Du findest eine Möglichkeit den Client wirklich eindeutig zu erkennen, oder Du sagst dem Kunden die Wahrheit: "Was Sie da vor haben gehört zu größten anzunehmenden Sicherheitslöchern."

Ich würde die Finger von sowas lassen. Wenn Du nur die kleinste Lücke übersiehst, hast Du schnell ein riesen Problem! Lieber ehrlich sein. Da hast Du am Ende mehr von!

Biete ihm zum Bleistift an das da zu korrigieren:

Es gibt angeblich ein paar Anwendungen, die mit dem jeweils anderen Browser nicht nutzbar wären.

**mrhappiness** · 07.05.2004, 09:23

aber dann ist eine SSO-Anmeldung so wie er das gern hätte überhaupt nicht möglich oder?

naja mal schauen, ob ich ihn dazu bringen kann, deine vorschläge zu akzeptieren, wenn ich das mach, gibt's ja wieder mehr geld

**schmalle** · 07.05.2004, 09:28

IMHO Gibt es keine wirklich sichere Möglichkeit einen Client eindeutig zu erkennen. Zumindest nicht über mehere Browser hinweg.
Ich hatte erst kürzlich eine ähnliche Situation. Das Ende vom Lied war/ist eine Art Multitasking Lösung innerhalb eines Browserfensters. Kostet unmengen Zeit und Nerven

Allerdings ist diese Lösung auch auf einen Browser-Typ beschränkt.

**wahsaga** · 07.05.2004, 09:41

wie wäre es denn mit per URL übergebener session-ID?
klar, nicht das nonplusultra an sicherheit.
aber zumindest die verwendung von unterschiedlichen browsern, aber trotzdem eindeutige identifikation wäre damit doch wohl machbar ...

(muss dem kunden dann nur noch irgendwie beibringen, dass er die seite nicht einfach so in browser x aufrufen kann, sondern vorher den link mit der SID aus browser y kopieren muss.)

**schmalle** · 07.05.2004, 09:43

Original geschrieben von wahsaga
(muss dem kunden dann nur noch irgendwie beibringen, dass er die seite nicht einfach so in browser x aufrufen kann, sondern vorher den link mit der SID aus browser y kopieren muss.)

was für Kunden hast Du denn? :-) So einen Vorschlag wird man Dir mit reichlich Pfeffer um die Ohren hauen

**asp2php** · 07.05.2004, 09:52

Apropos Cookies, wie wär's mit:

PHP-Code:


<script type=text/javascript>

        document.cookie = "sid=<?php echo session_id();  ?>";

        if(!(document.cookie.length > 0))

                        // Meldung und User bitten, Cookies zuzulassen

            window.document.location.href="_misc/cookie.php";

</script>

ist doch Browser übergreifend, oder

**schmalle** · 07.05.2004, 09:53

Original geschrieben von asp2php
ist doch Browser übergreifend, oder

ich würde sagen nein!

**asp2php** · 07.05.2004, 09:55

Original geschrieben von schmalle
ich würde sagen nein!

stimmt.... sh*t, zu schnell gedacht

**mrhappiness** · 07.05.2004, 09:57

Original geschrieben von wahsaga
(muss dem kunden dann nur noch irgendwie beibringen, dass er die seite nicht einfach so in browser x aufrufen kann, sondern vorher den link mit der SID aus browser y kopieren muss.)

au ja, und dann sagen die mir:
"Vielen Dank für das Angebot. Wir werden es sorgfältig prüfen und uns dann bei Ihnen melden.

Sie finden den Weg allein?"

ich könnte höchstens versuchen irgendwie ne datei auf dem client zu speichern, die ich dann hochsicherheitszertifikat nenne und dann irgendwie auslese, aber das geht mit php wohl nicht (hab da mal was gelesen *g*) und mit js wird's auch nicht viel einfacher und noch ne andere sprache da reinzuwurschteln will ich auch nicht unbedingt, da schau ich mir lieber - wenn ich darf - die nicht in allen browsern lauffähigen anwendungen an

**kill_bill** · 07.05.2004, 09:59

Ich habe von solchen Sachen ja keine Ahnung, aber, da es Brainstorming ist, lasse ich es hier dennoch mal los.

Bau doch einfach ein Programm, welches beim Kunden lokal installiert ist und auf welchem Du irgendwie (mit active-x oder so) über den Internet-Explorer zugreifen kannst.

Kunde loggt sich via IE ein und der übergibt wiederum dem Programm die Session-ID.

Das Programm modifiziert seinerseits die Startseite der anderen Browser (z.B. schustert es ein wenig in der Registry rum) und hängt dort die SessionID an. Ausloggen kannst Du Dich dann auch wieder nur mit dem IE...

Im Grunde genommen, da der Kunde ja eh auf Sachen zugreifen soll, die mal im IE mal im Netscape laufen ... sollte sowas doch, wenn möglich, reichen.

**schmalle** · 07.05.2004, 10:00

Original geschrieben von mrhappiness
au ja, und dann sagen die mir:
"Vielen Dank für das Angebot. Wir werden es sorgfältig prüfen und uns dann bei Ihnen melden.

Sie finden den Weg allein?"

Genau das wird passieren!

wenn ich darf - die nicht in allen browsern lauffähigen anwendungen an

Guck einmal drüber, Rede viel fachchinesisch, mache einen auf wichtig, sag das alles total scheisse ist, und voll unsicher ist. Dann schreibst Du alles neu, stellst ne fette Rechnung und fleigst 6 Wochen nach Südafrika

Und das beste: Der Kunde ist auch zufrieden

**schmalle** · 07.05.2004, 10:01

@kill_bill Leg Dich wieder hin

**kill_bill** · 07.05.2004, 10:02

Original geschrieben von schmalle
@kill_bill Leg Dich wieder hin

och, männo

**mrhappiness** · 07.05.2004, 10:08

active-x?

ich glaub ich bastel mir lieber ein trusted applet, java läuft auch mit netscape...

naja, ich schau mal ob ich die anwendungen an sich warten darf

Single-Sign-On und verschiedene Browser?