Nikolaus: Webzugang per Hardware

Hi,

wir kamen gestern im Freundeskreis auf eine interessante Frage.

Ist es möglich, den Zugang zu einem bestimmten Webportal vom Betreiber dieses Portals in Abhängigkeit auf eine zuvor ausgegebenen Hardware (z.B. Dongle, USB-Stick, usw.) zu gestalten?

Als Kriterium für Erfolg oder Nichterfolg soll gelten, dass der User aus dem Portal rausfliegt, wenn er den (z.B.) USB-Stick rauszieht, allerdings nur aus diesem Portal, nicht aus dem ganzen Internet. Und wenn er den Stick dann wieder in einen anderen (oder auch denselben) Rechner macht, kann er wieder in das Portal rein.

Meine Meinung ist, nein, es geht überhaupt nicht. Aber wie das so ist. Wirklich überzeugen konnte ich die anderen anscheinend nicht. Liegt auch daran, dass ich mir nachher selber nicht mehr so ganz sicher war.

Mit welchem Argument hätte ich Menschen überzeugen können, die lediglich über ein gesundes PC-Halbwissen verfügen (insbesondere, wenn ich selber auch nur über ein solches verfüge)? Oder liege ich sogar selber mit meiner Meinung falsch???

Schönen Tag, Nikolaus

  1. Hello,

    Meine Meinung ist, nein, es geht überhaupt nicht. Aber wie das so ist. Wirklich überzeugen konnte ich die anderen anscheinend nicht. Liegt auch daran, dass ich mir nachher selber nicht mehr so ganz sicher war.

    Wie wäre es mit der Nutzung von SSL?

    Da ließe sich auf jeden Fall realisieren, dass man die Anzahl der Zugänge limitieren kann.
    Wenn der Besitzer seinen Key also kopiert, hat er nichts davon.

    Und den Browser inclusive "eingebranntem Key" könnte man dann auf dem USB-Stick unterbringen.
    Da könnte man dann eigentlich auch gleich einen "Spezialbrowser" bauen, der andere und viel intelligentere Funktionen unterstützt, als die üblichen Kinderkacke-Exemplare, die seit Urzeiten kostenlos verteilt werden.

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
    Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de
    1. Wie wäre es mit der Nutzung von SSL?

      Da ließe sich auf jeden Fall realisieren, dass man die Anzahl der Zugänge limitieren kann.
      Wenn der Besitzer seinen Key also kopiert, hat er nichts davon.

      Würde aber den Zweck nicht ganz erreichen. Denn sich 20 Sticks kopieren und dann dort einzusetzen, wo es beliebt (wenn auch nie gleichzeitig) war nicht gewollt.

      Und den Browser inclusive "eingebranntem Key" könnte man dann auf dem USB-Stick unterbringen.
      Da könnte man dann eigentlich auch gleich einen "Spezialbrowser" bauen, der andere und viel intelligentere Funktionen unterstützt, als die üblichen Kinderkacke-Exemplare, die seit Urzeiten kostenlos verteilt werden.

      Sowas geht???

      1. Theoretisch würde ich in deinem Fall das ganze per Java applet machen und durch crypto layer in der kommunikation festsetzen ... damit bist du aber vom "webportal" weit weg weil du das den browser nurnoch als sandbox fürs Java nutzt.

        Theoretisch kannst du auch über die SSL layer / crypto keys einen "benutzer ring" bauen der nur deine websiten besuchen kann (key's) auf dem usb key. Dann musst du aber wieder n angepassten browser haben und dann kannst du gleich auf OpenVPN portable / APACHE aufbauen da haste auch nen bischen software und kannst n privates "portal" betreiben.

        Praktisch macht das ganze allerdings wenig sinn, da allerdings der windoof 90%ig mit JAVA ausgestattet ist währe das ne gangbare alternative per Java applet zu realisieren.

        --------------

        IT & PR - Fenebris.com
        janfeddersen _at_ dunkelnetz _dot_ de
        Kredite, Umschuldung, Finanzen

        1. Hallo, mal so am Rande ...

          ... deine Website funktioniert nicht ganz, wie sie soll .. von Tagesgeldkonten, Festgeld und Depot kommt man unfreiwillig auf die Girokonten und beim Depot wird gleich was anderes (Festgeld) angezeigt.

          Ciao, FF

          1. Danke für den Hinweis ... nur funktioniert es bei mir alles ...
            Welcher Browser ? Welches OS ?

            Gruß :)
            --------------

            IT & PR - Fenebris.com
            janfeddersen _at_ dunkelnetz _dot_ de
            Kredite, Umschuldung, Finanzen

            1. Firefox 3.0.11 / IE 8 auf Vista Ultimate 64bit

              Beim Absenden des Formulars gelangt man halt auf die Girokontenseite und beim anklicken von "Depot" kommt man gleich auf "Festgeld".

              Ciao, Frank

        2. Hallo Jan,

          Praktisch macht das ganze allerdings wenig sinn, da allerdings der windoof 90%ig mit JAVA ausgestattet ist währe das ne gangbare alternative per Java applet zu realisieren.

          meinst Du nicht eher, weil (Windows-) Rechner zu 90% nicht mit einem Java-Plugin ausgestattet sind, wäre ein Javaapplet keine besonders sinnvolle Alternative?

          Freundliche Grüße

          Vinzenz

  2. Moin!

    Ist es möglich, den Zugang zu einem bestimmten Webportal vom Betreiber dieses Portals in Abhängigkeit auf eine zuvor ausgegebenen Hardware (z.B. Dongle, USB-Stick, usw.) zu gestalten?

    Ja, sowas sollte funktionieren, wenn man noch entsprechende Software mitliefert. Beispielsweise als Java-Applet, welches vom User dann erweiterte Zugriffsrechte auf die eigene Hardware erhält, und dadurch das Vorhandensein dieser Hardware erkennt und praktischerweise aus dieser Hardware dann irgendeine wichtige Information nutzt, um den Zugang zu realisieren.

    Beispielsweise:
    Die Hardware enthält den Schlüssel für Public-Key-Krypto, der den Zugang zum Portal freischaltet.

    Oder die Hardware enthält grundsätzlich Hard- und Software, welche den eingehenden verschlüsselten Datenstrom entschlüsselt und dadurch erst darstellbar macht.

    Als Kriterium für Erfolg oder Nichterfolg soll gelten, dass der User aus dem Portal rausfliegt, wenn er den (z.B.) USB-Stick rauszieht, allerdings nur aus diesem Portal, nicht aus dem ganzen Internet. Und wenn er den Stick dann wieder in einen anderen (oder auch denselben) Rechner macht, kann er wieder in das Portal rein.

    Dieses Szenario würde funktionieren.

    Meine Meinung ist, nein, es geht überhaupt nicht. Aber wie das so ist. Wirklich überzeugen konnte ich die anderen anscheinend nicht. Liegt auch daran, dass ich mir nachher selber nicht mehr so ganz sicher war.

    "Geht nicht" wäre nur dann gegeben, wenn du zusätzliche Forderungen aufstellst, wie beispielsweise "Darf nur mit HTML, CSS und Javascript funktionieren".

    Aber das ist nicht praxisnah. Wenn ein Portal eine für den Nutzer interessante Information enthält, und der Zugang zu dieser nur mit Hardwaredongle und Java-Applet funktioniert, wird der Nutzer die technischen Voraussetzungen schaffen, um Zugang zu erhalten, weil das in seinem Interesse ist.

    Auf der anderen Seite ist aber die Frage, ob es aus Sicht der Informationsanbieter wünschenswert ist, die Informationen auf derartige Weise abzusichern. Denn ich kann mir vorstellen, dass dieses Sicherheitslevel einerseits für viele Informationen viel zu aufwendig und teuer ist, und andererseits für andere Informationen noch zu gering ist. Oder schlicht unpassend.

    - Sven Rautenberg

    1. Oder die Hardware enthält grundsätzlich Hard- und Software, welche den eingehenden verschlüsselten Datenstrom entschlüsselt und dadurch erst darstellbar macht.

      Na, es soll schon noch auf jedem normalen Browser laufen...

      Dieses Szenario würde funktionieren.

      Auch bei Deinem Public-Key-Krypto Vorschlag? Ist der User doch dann einmal drinne, bleibt ers doch auch, wenn der Stick draußen ist.

      Auf der anderen Seite ist aber die Frage, ob es aus Sicht der Informationsanbieter wünschenswert ist, die Informationen auf derartige Weise abzusichern. Denn ich kann mir vorstellen, dass dieses Sicherheitslevel einerseits für viele Informationen viel zu aufwendig und teuer ist, und andererseits für andere Informationen noch zu gering ist. Oder schlicht unpassend.

      Sicher. Das wäre dann die nächste Frage. Da es aber nur um die Theorie als Solches ging, war das erstmal nicht so relevant.

      Grüße, Nikolaus

      1. Moin!

        »» Oder die Hardware enthält grundsätzlich Hard- und Software, welche den eingehenden verschlüsselten Datenstrom entschlüsselt und dadurch erst darstellbar macht.
        »»

        Na, es soll schon noch auf jedem normalen Browser laufen...

        Ja, geht doch auch. Das Java-Applet reicht alle Daten vom Server erstmal an die Hardware durch, und dann weiter an den Browser.

        Und die Nutzbarkeit von Applets ist nichts wahnsinnig "besonderes".

        »» Dieses Szenario würde funktionieren.

        Auch bei Deinem Public-Key-Krypto Vorschlag? Ist der User doch dann einmal drinne, bleibt ers doch auch, wenn der Stick draußen ist.

        Hängt davon ab, was das Applet regelmäßig prüft.

        Außerdem beschäftigen wir uns im Moment noch nicht mit der Absicherung gegen Mißbrauch - das steht in deiner Originalfrage nämlich nicht drin.

        - Sven Rautenberg

        1. Ja, geht doch auch. Das Java-Applet reicht alle Daten vom Server erstmal an die Hardware durch, und dann weiter an den Browser.

          Ok. Ich war auf dem falschen Zug.

          Und die Nutzbarkeit von Applets ist nichts wahnsinnig "besonderes".

          Du meinst, von Userseite her? ;-) Denn sowas zu coden, finde ich schon "etwas besonderes" ;-)

          Hängt davon ab, was das Applet regelmäßig prüft.

          Ich hatte das Applet so verstanden, dass es nur beim Login zum Einsatz kommt. Wenn es natürlich als dauerhafte Durchlaufstation eingesetzt wird, wirds klarer.

          Außerdem beschäftigen wir uns im Moment noch nicht mit der Absicherung gegen Mißbrauch - das steht in deiner Originalfrage nämlich nicht drin.

          Doch, schon. "Als Kriterium für Erfolg oder Nichterfolg soll gelten, dass der User aus dem Portal rausfliegt, wenn er den (z.B.) USB-Stick rauszieht, allerdings nur aus diesem Portal, nicht aus dem ganzen Internet."

          Grüße, Nikolaus

          1. Moin!

            »» Außerdem beschäftigen wir uns im Moment noch nicht mit der Absicherung gegen Mißbrauch - das steht in deiner Originalfrage nämlich nicht drin.

            Doch, schon. "Als Kriterium für Erfolg oder Nichterfolg soll gelten, dass der User aus dem Portal rausfliegt, wenn er den (z.B.) USB-Stick rauszieht, allerdings nur aus diesem Portal, nicht aus dem ganzen Internet."

            Nein. Das ist ein Anforderungskriterium an den Normalzustand.

            Die Mißbrauchsfrage wäre, wie man die Lösung absichert gegen Userversuche, trotz abgezogenem USB-Stick weiterhin drin zu bleiben.

            - Sven Rautenberg

            1. Nein. Das ist ein Anforderungskriterium an den Normalzustand.

              Die Mißbrauchsfrage wäre, wie man die Lösung absichert gegen Userversuche, trotz abgezogenem USB-Stick weiterhin drin zu bleiben.

              Ok. Definitionsfrage, aber wir meinen dasselbe.

  3. Hello,

    bist DU eigentlich verwandt, verschwägert oder befreundet mit Uschi von den Laien?

    Da hat ja bekanntermaßen kürzlich eine Laiin ein Gesetz durchsetzen lassen, dass die Kommerzialisierung von KiPo übers Internet erst möglich macht.

    Und dieser Thread gibt vielleicht sogar dazu die Antwort [auch, wenn er das keinesfalls will]

    Aber der VERKAUF von Zugangsrechten ist ja erst dann praktikable, wenn der kostenlose Zugang nicht mehr möglich ist!

    Liebe Grüße aus dem schönen Oberharz

    Tom vom Berg

    --
    Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de
    1. Hello,

      bist DU eigentlich verwandt, verschwägert oder befreundet mit Uschi von den Laien?

      Wär schade, wenn ein doofer und unangebracht überzogener Vergleich den eigentlich interessanten Thread nun kaputt macht.

      Ich frage, wie man ein 1000-seitiges Buch schreibt und Du weist darauf hin, dass man damit Menschen erschlagen könnte. Stimmt zwar, aber ist wenig hilfreich für mein Thema.

      Was die Laiin angeht, da sind wir eh einer Meinung. Irgendein schlauer Mensch (ich weiß nicht mehr, wer) hat vor langer Zeit schon gesagt, die nächste Diktatur käme im Mäntelchen der Demokratie daher.

      Grüße, Nikolaus

  4. Grüße,
    technologie als solche findet derzeit verwendung http://en.wikipedia.org/wiki/Dongle#Copy_protection aber ich habe so meine zweiffel, dass es die nutzer toll finden.
    MFG
    bleicher

    1. Hello,

      technologie als solche findet derzeit verwendung http://en.wikipedia.org/wiki/Dongle#Copy_protection aber ich habe so meine zweiffel, dass es die nutzer toll finden.

      Ich fand immer die Teile für die Druckerschnittstelle geil.
      Davon habe ich auch noch etliche für meine AutoCAD-Lizenzen.

      Da haben wir dann aber die "innenliegende Druckerschnittstelle" bevorzugt.

      Als ich meinem Hardwarehersteller damals gebeten habe, er möge uns bitte solche Steckkarten herstellen, hat er mich nur ganz blöd angeschaut und gedacht, ich wolle ihn verkaspern. Nachher haben wir die Teile aber eine ganze Weile gut verkauft ;-))

      Liebe Grüße aus dem schönen Oberharz

      Tom vom Berg

      --
      Nur selber lernen macht schlau
      http://bergpost.annerschbarrich.de
      1. Grüße,

        Da haben wir dann aber die "innenliegende Druckerschnittstelle" bevorzugt.

        *hust* so ein "gepatchtes anshcluss"? der "immer funktioniert", wenn man das hardwareteil gerade nicht zur hand hat? ja - die isnd sehr verbreitet^^

        Als ich meinem Hardwarehersteller damals gebeten habe, er möge uns bitte solche Steckkarten herstellen, hat er mich nur ganz blöd angeschaut und gedacht, ich wolle ihn verkaspern. Nachher haben wir die Teile aber eine ganze Weile gut verkauft ;-))

        ????

        MFG
        bleicher

        1. Hallo,

          Da haben wir dann aber die "innenliegende Druckerschnittstelle" bevorzugt.
          *hust* so ein "gepatchtes anshcluss"? der "immer funktioniert", wenn man das hardwareteil gerade nicht zur hand hat? ja - die isnd sehr verbreitet^^

          nein, ich gehe davon aus, dass Tom eine parallele Schnittstelle meint, die sich im Innenraum des Gehäuses befindet. Bei einem meiner ehemaligen Arbeitgeber war es im Schulungsbetrieb so gelöst, dass die Dongles zu Unterrichtsbeginn ausgegeben und zum Unterrichtsende wieder eingesammelt wurden.

          Wir waren damals ausgesprochen froh, als diverse Hersteller, darunter Autodesk, zu Lizenzservern übergingen. Danach hatten wir nur noch ein paar Dongles - und diese im Serverraum, somit für die Allgemeinheit unzugänglich.

          Freundliche Grüße

          Vinzenz

          1. Hello,

            Da haben wir dann aber die "innenliegende Druckerschnittstelle" bevorzugt.
            *hust* so ein "gepatchtes anshcluss"? der "immer funktioniert", wenn man das hardwareteil gerade nicht zur hand hat? ja - die isnd sehr verbreitet^^

            nein, ich gehe davon aus, dass Tom eine parallele Schnittstelle meint, die sich im Innenraum des Gehäuses befindet.

            Ja, die meinte ich. Und die Gehäuse waren abschließbar sogar mit einem vernünftigen Schloss, nicht nur mit einem Moralriegelchen...

            Bei einem meiner ehemaligen Arbeitgeber war es im Schulungsbetrieb so gelöst, dass die Dongles zu Unterrichtsbeginn ausgegeben und zum Unterrichtsende wieder eingesammelt wurden.

            Und dabei sind bei unseren Kunden immer gerne welche verloren gegangen. Keiner ist es dann gewesen. Die waren richtig froh über diese anfangs verrückte Idee mit der innenliegenden Druckerschnittstelle. Später gab es die fast überall zu kaufen. Die Taiwanesen haben nicht lange geschlafen.

            Liebe Grüße aus dem schönen Oberharz

            Tom vom Berg

            --
            Nur selber lernen macht schlau
            http://bergpost.annerschbarrich.de
  5. Hi there,

    Meine Meinung ist, nein, es geht überhaupt nicht.

    Nicht, wenn Du nur mit dem Browser unterwegs bist. Wenn Du aber als Bedingung für irgendeine Seite die Installation von einem bestimmten Javaapplet oder einer ActiveX-Komponente voraussetzt, dann kannst Du im Prinzip die Kontrolle über den Rechner soweit erlangen, daß bestimmte Ziele und Möglichkeiten auf dem Besucherrechner vorselektiert oder gesperrt werden.

    Ist aber in der Praxis aus Sicherheitsgründen strikt abzulehnen, auch wenn Du unter Garantie genug DAUs finden würdest, die so etwas auf ihrem Rechner installieren...

  6. Hi Nikolaus,

    Ist es möglich, den Zugang zu einem bestimmten Webportal vom Betreiber dieses Portals in Abhängigkeit auf eine zuvor ausgegebenen Hardware (z.B. Dongle, USB-Stick, usw.) zu gestalten?

    Meine Meinung ist, nein, es geht überhaupt nicht

    doch, natürlich geht das. Es gibt da diverse Anbieter die ihrem Inhalt ein Zugangssystem vorschalten, z.B. X-check Dies funktioniert so wie du das beschrieben hast ... ähm, habe ich mir sagen lassen ;-)

    Grüße,

    Jochen

    --
    Kritzeln statt texten: Scribbleboard
  7. Moin Moin,

    wir kamen gestern im Freundeskreis auf eine

    interessante Frage.

    Ist es möglich, den Zugang zu einem bestimmten
    Webportal vom Betreiber dieses Portals in Abhängigkeit
    auf eine zuvor ausgegebenen Hardware (z.B. Dongle,
    USB-Stick, usw.) zu gestalten?

    Sicherlich, ich nenne dir mal 2 konkrete Beispiele:

    Fernsehen übers Internet. Ohne die ID der SmartCard -
    (auch ein USB-Stick könnte die Nutzerinformationen
    enthalten) in der SetTop-Box, sperrt dich das Portal aus.

    HBCI, auch hier ist eine externe Quelle nötig um ID
    Informationen möglichst sicher aufzubewahren. Ohne
    SmartCard ID kein Homebanking über HBCI.

    Als Kriterium für Erfolg oder Nichterfolg soll gelten,
    dass der User aus dem Portal raus fliegt, wenn er den
    (z.B.) USB-Stick raus zieht, allerdings nur aus diesem
    Portal, nicht aus dem ganzen Internet. Und wenn er
    den Stick dann wieder in einen anderen (oder auch
    denselben) Rechner macht, kann er wieder in das Portal
    rein.

    Soweit ich es feststellen kann, entspricht dies exakt meinen
    beiden Beispielen.
    Ohne SmartCard kommst du weiterhin über den Computer in
    das Internet. Die SetTop-Box und das Homebankingprogramm
    verweigern aber ihren Dienst.

    Ich muss ja zugeben, diese Beispiele sind sehr speziell,
    entsprechen aber deinen, wie auch Sven's Vorgaben.

    gruesse aus'm ruhrpott
      jens mueller

    --
    As long as a single mind remembers, as long as a single heart
    beats with passion, how can a dream die?
    \//_ Live long and prosper
    sh:( fo:) ch:| rl:° br:^ n4:| ie:% mo:| va:} de:> zu:) fl:( ss:) ls:> js:|