Ho sviluppato un'applicazione web REST. Il client desidera solo i computer autorizzati per accedere all'applicazione. Siamo partiti con l'implementazione TLS a 2 vie in cui il cliente approva o rifiuta le richieste di certificati.
Ora il problema è che ci sono strumenti per estrarre il certificato dalla macchina anche se il certificato è stato contrassegnato come non esportabile. Pensavamo che l'utilizzo del componente COM CertEnroll per generare la CSR avrebbe contribuito a impedire l'esportazione ma contrassegnare il certificato come non esportabile non era sufficiente.
I requisiti sono che solo i computer autorizzati possono accedere all'applicazione e ridurre al minimo la copia delle autorizzazioni il più possibile.
Alcune opzioni che ho escluso:
- Indirizzi IP con restrizioni, ci sono utenti interni che non vogliamo accedere all'app.
- Il fingerprinting del browser, non può garantire agli utenti che provengono dal browser.