Uitloggen op een reverse proxy?

Wij hebben een webapplicatie draaien waarop verschillende gebruikers verschillende rechten hebben, de applicatie is benaderbaar via een reverse proxy. Nu kan je alleen uitloggen als je je browser afsluit want dan is je session per definitie afgelopen. Maar het is nogal lastig om elke browser af te sluiten als je wilt uitloggen.

Eerst was dit opgelost door in de URL de gebruikersnaam en wachtwoord mee te geven, en aan de hand daarvan kon er op elke pagina gekeken worden wie er ingelogd was. Nu is dit niet alleen een vrij riskante oplossing (ivm hackkers) maar het kan tegenwoordig met IE6 ook niet meer...

Dus ben ik dus op zoek naar gangbare technieken die daarvoor gebruikt worden. Ik weet wel dat er Frontdoor applicaties zijn die hiervoor zijn ontwikkeld, maar eerst maar eens kijken wat er in eigenbeheer mogelijk is niet? Dat het niet zulke gangbare materie blijkt wel als je op zoek gaat, op het internet is er niet veel te vinden namelijk, ik heb wel dit: http://www.modsecurity.org/archive/ReverseProxy-book-1.pdf, maar ik zoek toch wat meer informatie over het technischere hoe dan alleen een pattern. Is er iemand die hier bekend mee is, die weleens met dit bijlte gehakt heeft?

Helpt het als ik termen als Clientless VPN, tijdelijke certificaten of SSL VPN laat vallen


Zoals ik het nu zie lijkt mij de tijdelijke certificaten oplossing het beste, maar misschien zijn er nog andere lichten hier?

Sendy schreef op maandag 04 april 2005 @ 15:24:
Waarom roep je die termen? Denk je dat dat zin heeft? Waarom?

Ik riep die termen omdat ik dacht dat die oplossingen hetgeen kunnen realiseren wat ik voor ogen had...
Gisteren is er nog overleg geweest hier, en een andere inloge methode gaan gebruiken is ook een optie die een bekeken moet worden.

Dus is ik zal eens rondkijken wat de voor en nadelen zijn van verschillende authentication methodes, het moet namelijk zo veilig mogelijk zijn aangezien het over salaris gegevens gaat.

Tips/hint/trucs zijn welkom, en ik ga zelf ook eens op pad in het wereld wijde web


ohw, even ter aanvulling..
Op het moment gebruiken we dus HTTP Authentication, met als nadeel dat je pas uitgelogd bent als je ALLE browsers afsluit.

Cookies is iets te onveilig aangezien daar te makkelijk mee geprutst kan worden
Voor sessies gaat ongeveer hetzelfde op, als is het iets veiliger dan cookies. Je kan natuurlijk in de DB bijgehouden wordt wie er ingelogd is, en dan kan je stellen dat een sessie na 15minuten oid is afgelopen als men niets gedaan heeft. Dit heeft alleen weer als nadeel dat mensen die inloggen, de browser afsluiten en weer willen in loggen niet kunnen inloggen totdat die sessie ook ECHT afgelopen is in de DB.

Tijdelijke certificaten wordt blijkbaar ook moeilijk omdat er op dit moment maar een paar man gebruik maakt van de applicatie maar in de toekomst willen ze dat mensen ook hun salarisstroken kunnen zien, en dat worden nogal veel mensen.

[ Voor 40% gewijzigd door Creatinus op 06-04-2005 11:46 ]

Bedankt voor je info, ik ben gisteren bezig geweest. Ik heb gezocht naar HTTP Authenticatie methodes en script methodes. Verder is het nog niet zeker dat we iets ombouwen dat ligt aan de alternatieven die we kunnen bieden, maar er kan dus allen uitgelogd worden met HTTP Authentication als je alle browsers afsluit.


Eerst was dit opgelost door middel in te loggen als een gebruiker zonder rechten. Deze methode werkt echter niet in IE6 (wegens security redenen vermoed ik zo ), zou het veranderen van een realm dan wel gaan? Want dan kan je natuurlijk zorgen dat mensen op een realm komen waar men niets kan. En omdat deze realm in de chache staat moet men als men weer in de eerste realm wil komen weer opnieuw inloggen. Deze opzet bedoel je toch? Als dit mogelijk is, is dit wellicht ook een oplossing.

Ik ga me er nog eens verder in verdiepen, dit is allemaal best intertessante materie