Discussion :

[lefajele]

Bonjour à toute la communauté. Je travaille actuellement sur un projet en ASP.NET MVC 5 et pour des raisons de sécurité, il nous (équipe projet) a été demandé de prévoir une authentification via l'adresse MAC. Alors le système est sensé fonctionner comme suit. Lorsqu'un utilisateur essai de se connecter à l'application (application qui sera accessible via internet), la première des choses à faire avant même l'affichage de la page de login est de récupérer l'adresse MAC dudit utilisateur et de la vérifier avec celles contenues dans notre base de données. J'aimerais donc que vous me proposiez un code JavaScript capable d'effectuer cette tâche si possible. J'ai trouvé un code C# qui fonction mais mon supérieur souhaite que le code en question soit en JavaScript, raison pour laquelle je me tourne vers vous pour une éventuelle solution. Merci d'avance à tous ceux qui consacreront un peu de leur temps pour m'aider.

[vandenn3]

Bonsoir,

L'adresse MAC n'est (à ma connaissance) pas accessible en javascript.
À la rigueur, tu pourrait utiliser une applet java (ou peut être utiliser flash ?) pour la récupérer.

[sekaijin]

une première chose le protocole HTTP se Base sur TCP qui lui est construit sur Ethernet et tous ces dérivés


Dans HTTP pas d'adresse IP juste le nom DNS que le navigateur a bien voulu mettre dans les entête.
aucune garantie de ce côté là n'importe qui sans vraiment de connaissance peut modifier cette valeur.

TCP c'est l'adresse IP de l'émetteur et du récepteur qui permet de faire la liaison
mais pas d'adresse Mac et là encore aucun garantie que le serveur reçoive l'adresse IP de l'émetteur. en effet il est facile de mettre en place un Pont TCP (comme le font les proxy) dans ce cas là l'adresse la connexion TCP est établie entre le proxy et le serveur donc plus d'adresse IP de l'émetteur. (généralement le proxy http ajoute des entêtes pour passer le nom reel de l'émetteur mais les proxy de type pont avec rupture de protocole ne le font pas.

ethernet et toute ces déclinaison.
ici il s'agit de faire communiquer une carte réseau avec une autre. et c'est l'adresse MAC qui est utilisé.
mais cette liaison par du pc de l'utilisateur et arrive jusqu'au premier routeur (souvent la box ou la borne wifi) il y a ensuite une autre liaison entre le premier routeur et le suivant et là plus d'adresse MAC du PC mais les adresses MAC des routeurs etc.

Il n'y donc question sécurité rien à attendre du réseau par rapport au nom adresse ip ou adresse MAC.


quant à javascript même si tu trouvais un moyen de l'obtenir
n'importe quel utilisateur peut mettre un point d'arrêt dans son navigateur et changer la valeur.


c'est une REGLE de SECURITE de BASE :
NE JAMAIS FAIRE DEPENDRE LA SECURITE DU SERVEUR D'UN CODE PR2SENT SUR LE POSTE DE L'UTILISATEUR.

ce qui t'est demandé là est de créer une grosse faille dans la sécurité de ton système.

A+JYT

[lefajele]

Je vous remercie beaucoup pour vos explications. J'ai eu a effectuer d'autres recherches mais le résultat reste le même. Je suis actuellement à la recherche d'une autre approche car mon supérieur tient à ce qu'il y'ait un contrôle bien avant que la page d'authentification ne puisse être affichée. Que pouvez-vous me conseiller si ce n'est pas trop demandé. Merci d'avance.

[sekaijin]

Il n'y a pas grand chose que tu peux faire avant le login

Je me souviens de mes dernière discussion avec un expert en sécurité du web
et pour lui tout ce que tu fait avant la phase de login c'est une question de l'ordre de la seconde.

En clair tu vas dépenser énormément d'énergie pour faire perdre 1 ou 2 secondes à ton hacker.

Cherche du côté de l'authentification forte.

il existe par exemple des solution qui consiste à déposer un certificat sur le poste de l'utilisateur et ajouter un "plugin" au navigateur qui va utiliser ce certificat pour garantir que le dit navigateur est bien celui qui envoie la requête. (principe de la signature électronique)

ou encore l'utilisation de carte à puce
etc.

A+JYT

[lefajele]

Suite à votre premier post, j'ai entamé des recherches sur l'utilisation des certificats. Je suis encore entrain de faire des recherches et j'espère bien que j'arriverais à une solutions satisfaisante.