假設我有一臺機器M和一個網絡服務器S.從M開始,我希望能夠訪問S上的一個頁面,該頁面會將我登錄到某個站點X(例如,例如,Gmail )。但是,我希望在沒有M處理任何密碼細節的情況下發生這種情況。另外,我不想使用代理,而是有最終的結果是,好像m的實際訪問X登錄該網站總結一下:瀏覽器中的「遠程登錄」
- 在機器M,我訪問一個特殊的頁面上服務器S.
- 服務器S登錄到X和轉讓餅乾或諸如此類的東西M.
- 中號從未處理爲X.密碼
- 最終的結果是一樣的如果M實際上已經登錄到X本身。
這是甚至是遠程可能的嗎?我瞭解,網站可以設置什麼Cookie,等有限制,因此傳輸Cookie可能是一個問題,但也許這可以避免,如果我也控制瀏覽器?
注意:您可能會認爲我完全控制S,並完全控制M(可能是Firefox)上的瀏覽器。服務器S當然知道X所需的密碼。
請隨時編輯我的標題和標籤,因爲我覺得很難對此問題進行分類。
這個問題傷害了我的大腦。也許你可以舉一個例子,這將是好的嗎?我認爲我理解的一點是,它違背了良好安全模型。 – wallyk 2010-01-04 05:59:35
@wallyk:一個例子是如果機器M安裝了鍵盤記錄器和可能的鼠標記錄器,但沒有其他監視軟件。 (部分自動化的代理將是自然的解決方案,但假設這不是理想的。)實際上,您要確保M不處理密碼。因此,服務器S可以具有挑戰/響應安全系統而不是密碼方案。如果可能的話,我也只是感興趣。感謝您的關注! – 2010-01-04 06:05:20