浏览器中的“远程登录”
假设我有一台机器M和一个网络服务器S.从M开始,我希望能够访问S上的一个页面,该页面会将我登录到某个站点X(例如,例如,Gmail )。但是,我希望在没有M处理任何密码细节的情况下发生这种情况。另外,我不想使用代理,而是有最终的结果是,好像m的实际访问X登录该网站总结一下:浏览器中的“远程登录”
- 在机器M,我访问一个特殊的页面上服务器S.
- 服务器S登录到X和转让饼干或诸如此类的东西M.
- 中号从未处理为X.密码
- 最终的结果是一样的如果M实际上已经登录到X本身。
这是甚至是远程可能的吗?我了解,网站可以设置什么Cookie,等有限制,因此传输Cookie可能是一个问题,但也许这可以避免,如果我也控制浏览器?
注意:您可能会认为我完全控制S,并完全控制M(可能是Firefox)上的浏览器。服务器S当然知道X所需的密码。
请随时编辑我的标题和标签,因为我觉得很难对此问题进行分类。
您是否确实知道上述网站未将您的Cookie映射到您登录的IP,并且如果它不相同,则强制重新登录?如果是这样,你可能是SOL,除非你想代理。如果不是,并且您的假设是M键盘锁和鼠标记录,那么暗示它不会被封包嗅探(意味着您的闪亮饼干将被泄露,如果上述可行,则意味着有人可能仍会登录,尽管具有潜在的有限机会)。
但是,如果你要偏执,让我们成为偏执狂。
感谢您的评论。重新IP地址:这是一个考虑因素。我不知道有多少网站这样做,但实际上我认为这不是太多(也许是银行)。重新妄想:是的,我明白这种可能性。 – 2010-01-04 14:56:45
看看OAuth和OpenID。我不太清楚你想要什么,但他们可能适合你。
这个问题伤害了我的大脑。也许你可以举一个例子,这将是好的吗?我认为我理解的一点是,它违背了良好安全模型。 – wallyk 2010-01-04 05:59:35
@wallyk:一个例子是如果机器M安装了键盘记录器和可能的鼠标记录器,但没有其他监视软件。 (部分自动化的代理将是自然的解决方案,但假设这不是理想的。)实际上,您要确保M不处理密码。因此,服务器S可以具有挑战/响应安全系统而不是密码方案。如果可能的话,我也只是感兴趣。感谢您的关注! – 2010-01-04 06:05:20