Re: Mehrfach-Login verhindern

Hallo Calle,

"Calle Manthey" schrieb

ich suche eine Möglichkeit bei einer ASP.NET-App mit FormAuthentifizierung
das _mehrfache_ Login unter einem Usernamen/Passwort zu verhindern.

Vorab die Frage: Intranet- oder Internetanwendung? Ok, besser gefragt: Hast
Du eine geschlossene Benutzergruppe oder kann sich hier "jeder" anmelden?

Oder aber - noch schlimmer - der User verläßt das Programm OHNE explizites Logout,
hat was vergessen und will sich wieder einloggen. Das geht dann erst nach dem TimeOut.

Du _könntest_ das Login _zusätzlich_ an die IP binden. Wenn also ein Login
von einem bereits angemeldeten Benutzer kommt und die IP identisch zu der
vorher gemerkten ist, lässt Du das Login durch, anderenfalls nicht. Da man
IP Adressen aber eh immer nur mit Vorsicht zur Identifikation verwenden
kann/sollte, klappt das natürlich auch nicht immer (Proxies, mehrere User
gleiche IP, dynamische IPs, ein User, mehrere IPs [jeweils nach Neueinwahl]).

Wenn Du einen bekannten Benutzerkreis hast und du die dazu bringen kannst
Javascript zuzulassen kannst Du evtl. auch einfach ein kleines Skript einbauen,
mit dem bspw. alle 30 Minuten ein "KeepAlive" sendest. Hier wird einfach ein
Bild (oder was auch immer) immer wieder vom Server abgerufen und damit die
Session am Leben erhalten. Wenn die entsprechende Resource nicht mehr abgerufen
wird, ist das Login halt nicht mehr gültig (Entweder prüft man das periodisch
oder halt beim nächsten Login). Ich seh das aber (abgesehen von Denkfehlern,
die ich da grad drin haben könnte [zuwenig Kaffee]) kritisch, weils den User
beim Login behindert, wenn irgendwas mal nicht so läuft wie erwartet.

--
Tschau, Stefan
Microsoft MVP - Visual Developer ASP/ASP.NET
http://www.asp-solutions.de/ - Consulting, Development
http://www.aspnetzone.de/ - ASP.NET Zone, die ASP.NET Community

.

Relevant Pages

  • Re: Mehrfach-Login verhindern
    ... das _mehrfache_ Login unter einem Usernamen/Passwort zu verhindern. ... Du eine geschlossene Benutzergruppe oder kann sich hier "jeder" anmelden? ... hat was vergessen und will sich wieder einloggen. ... Wenn das Cookie gefunden wird, weiss ich: dieser User war noch innerhalb des ...
    (microsoft.public.de.german.entwickler.dotnet.asp)
  • Re: iptables & tcp wrappers
    ... >> you will be forced to change IPs to continue DoS'ing the box. ... Use the IP of my customers to login or to try to get them to the blocked ... Layers upon layers upon layers of security. ... image of the drive) if any security breach is detected. ...
    (Focus-Linux)
  • Re: How to -- PPPoE with my ADSL Connection to connect internet with CentOS 5
    ... Em Segunda, 6 de Agosto de 2007 15:45, jatrojoomla escreveu: ... AFTER EVERY NEXT LOGIN, ... most of us have ips like that... ... FROM PHP SCRIPT ANY TIME I CAN GOT MY PRESENT IP ADDRESS. ...
    (comp.os.linux.setup)
  • Re: So many people used a "roomies" PC :D
    ... I'm sure that Blizzard will also be aware if you login ... from a different PC (all it takes is to monitor the IPs that connect, ... And if you go on vacation or a business trip and play on the road? ... brother is 1000 miles from home staying at his in-laws for the holidays and ...
    (alt.games.warcraft)
  • Auto add bad ip to /etc/host.deny?
    ... saw many bad ip try to login by ssh with wrong account and password, ... I can manual add these IPs to /etc/host.deny, ... But if any tools can analyze for wrong login outrun ? ...
    (comp.unix.bsd.netbsd.misc)