HTTPS certifikáty

[Lopan]

Zdravím, potřebuji se dovědět o možnosti poněkud nestadardního využití certifikátů.
Modelová situace. Společnost A má web aplikaci. Má také smluvní partnery B, C, D. Každý z těchto partnerů má vlastní interní sekci webu pro registrované uživatele. Smluvní partneři chtějí mít ve své interní části zpřístupněnou web aplikaci společnosti A, ale web aplikace běží pouze ve společnosti A.
Navrhované řešení je, že každý smluvní partner si přidá na svůj web iframe s odkazem na aplikaci společnosti A.

Uživatel Franta se přihlásí na web partnera B a tam se mu zobrazí web aplikace společnosti A.
Jak mohu zajistit abych rozpoznal, že se ke mě připojuje někdo od partnera B? Je vůbec možné zařídit, aby mě stránka, která má v sobě iframe zaslala certifikát a já podle toho rozpoznal, že jde o partnera B?

Musím totiž rozlišit, že se ke mě připojuje partner B, C nebo D a zároveň zamezit, aby se mezi sebou mohli zaměňovat.

Díky za rady.

[wlcheck]

o webu toho moc nevim, ale neslo by to zjistovat treba pres referrer hodnotu ?

[Fox!MURDER]

tohle nezajistis - neoveris ...
co muzes udelat, je bud vyzadovat predani nejaky jednorazovy hodnoty - neco na zpusob session - kterou web A preda webu BCD jen na zaklade overeni (heslo, secret, PKI) a ten ji preda klientovi.

nebo proste BCD budou pristupovat sami na web A a budou delat jakousi 'proxy' pro klienta ... tj. bez iframe

ale co se https tyce, tak to ti umozni jen overit realnyho klienta, ne web, ze kteryho se tam dostal ... referrer hodnota je sice taky moznost, ale je to moc snadno obejitelny klientem a nejsem si jistej, jestli by neslo zmast klientsky browsery tak, aby se tvarily, ze prisly odjinad ....

[Lopan]

tohle nezajistis - neoveris ...
co muzes udelat, je bud vyzadovat predani nejaky jednorazovy hodnoty - neco na zpusob session - kterou web A preda webu BCD jen na zaklade overeni (heslo, secret, PKI) a ten ji preda klientovi.

Presne nad tim jsem premyslel, ale tam narazim na omezeni, ze kdyz web B umisti ke klientovi napr. cookies s nejakymi hodnotami, tak ja je z webu A nenactu, je to jina domena.

tohle nezajistis - neoveris ...
nebo proste BCD budou pristupovat sami na web A a budou delat jakousi 'proxy' pro klienta ... tj. bez iframe

Mohl bys prosim priblizit toto reseni? Ja do tohoto problemu moc nevidim. Mojim ukolem je naprogramovani te aplikace a ted me prihodili i tuto autentifikaci

[Fox!MURDER]

Presne nad tim jsem premyslel, ale tam narazim na omezeni, ze kdyz web B umisti ke klientovi napr. cookies s nejakymi hodnotami, tak ja je z webu A nenactu, je to jina domena.

i obsah iframe by mel bejt jina domena ...

Mohl bys prosim priblizit toto reseni? Ja do tohoto problemu moc nevidim. Mojim ukolem je naprogramovani te aplikace a ted me prihodili i tuto autentifikaci

mno proste klient otevre web B, web B otevre HTTP(S) spojeni na web A, preposle data od klienta, pripadne prida nejaky svoje informace a co dostane od webu A preposle klientovi ...

[Lopan]

i obsah iframe by mel bejt jina domena ...

achtak, ja jsem to poprve spatne pobral.
Klient si otevre web B. Web B si otevre spojeni na web A spojeni s nejakym klicem, web A si podle klice zjisti, ze to je Web B. Web A si ulozi ke klientovi nejakou informaci, podle ktere ho bude rozpoznavat ze jde z webu B. To bylo asi mozne reseni.

mno proste klient otevre web B, web B otevre HTTP(S) spojeni na web A, preposle data od klienta, pripadne prida nejaky svoje informace a co dostane od webu A preposle klientovi ...

Takze web B je jen transparentni preposilatel. Jak by probihalo technicke reseni, staci nastin.

Kdyztak se omlouvam za lamerske dotazy a pomalejsi chapani, nejak jsem spatne spal a v teto oblasti docela hodne tapu ve tme.

[Fox!MURDER]

achtak, ja jsem to poprve spatne pobral.
Klient si otevre web B. Web B si otevre spojeni na web A spojeni s nejakym klicem, web A si podle klice zjisti, ze to je Web B. Web A si ulozi ke klientovi nejakou informaci, podle ktere ho bude rozpoznavat ze jde z webu B. To bylo asi mozne reseni.

jojo, tak nejak to bylo mysleno.

Takze web B je jen transparentni preposilatel. Jak by probihalo technicke reseni, staci nastin.

Kdyztak se omlouvam za lamerske dotazy a pomalejsi chapani, nejak jsem spatne spal a v teto oblasti docela hodne tapu ve tme.

vsak technicky reseni tu mas napsany. prevod do konkretniho jazyka uz je vec toho konkretniho jazyka. v perlu by to byla otazka tak 20ti radek ...

[Lopan]

jojo, tak nejak to bylo mysleno.
vsak technicky reseni tu mas napsany. prevod do konkretniho jazyka uz je vec toho konkretniho jazyka. v perlu by to byla otazka tak 20ti radek ...

Okok, mrknu na reseni v php, 90% partnerskych webu ma php.
Me tam jeste nebylo uplne jasne, jestli se bude tato jak rikas 'proxy' resit na aplikacni urovni nebo na sitove urovni, tj. http server bude na vybranou stranku vytvaret transparentni proxy.

Diky za rady.

[Fox!MURDER]

Okok, mrknu na reseni v php, 90% partnerskych webu ma php.
Me tam jeste nebylo uplne jasne, jestli se bude tato jak rikas 'proxy' resit na aplikacni urovni nebo na sitove urovni, tj. http server bude na vybranou stranku vytvaret transparentni proxy.

Diky za rady.

varianty jsou mozny obe ... zalezi na tom, jak cekas, ze to bude dal fungovat ... moznej problem je v tom, ze web B ma k dispozici kompletni komunikaci A<->klient a muze do ni zasahovat. ..

[Lopan]

varianty jsou mozny obe ... zalezi na tom, jak cekas, ze to bude dal fungovat ... moznej problem je v tom, ze web B ma k dispozici kompletni komunikaci A<->klient a muze do ni zasahovat. ..

Toho bych se neobaval, kdyby do ni web B zasahoval, tak je sam proti sobe

Ted jen doufam, ze to v tom PHP nebude nejak problematicke, reseni pres java servlet a request-response by bylo optimalni, ale bohuzel ne vsude dostupne.