Permettere all'utente di accedere al sito Web protetto da password senza rivelare la password

Question

Permettere all'utente di accedere al sito Web protetto da password senza rivelare la password

#1 da (2 voti)
#2 da (0 voti)

3

Un mio amico ha il seguente problema. È una contabile e i suoi clienti le danno spesso le credenziali di accesso per poter scaricare i dati contabili da vari siti Web di istituti finanziari. Inoltre ha un dipendente part-time che la aiuta con alcune attività di routine. Il mio amico vuole che il suo dipendente sia in grado di scaricare i dati dei clienti senza dover rivelare le credenziali di accesso dei suoi clienti.

Non diversamente dalla maggior parte dei commentatori di seguito, preferirei anche che tutti sul pianeta avessero i loro account unici per tutto e non condividessero mai. Sfortunatamente non è così. Quindi, per favore, concentrati sul compito a portata di mano.

Sto cercando un modo per configurare un server proxy locale in modo da autorizzare automaticamente la sessione del browser dell'utente sul sito Web remoto con credenziali predefinite.

Ho bisogno che il database delle credenziali sia archiviato su un server nella rete locale (non nel cloud e non su un PC utente), quindi le soluzioni come i vari plug-in del browser non funzionerebbero. La configurazione dovrebbe supportare più account nello stesso sito Web.

proxy web-application

posta Alex P. 18.06.2013 - 23:30

fonte

2 risposte

Leggi altre domande sui tag proxy web-application

OWASP ZAP non esegue correttamente il proxy delle mie risposte HTTP? Shutdown: cancella il file di paging della memoria virtuale

score 2 · Answer 1

Il problema è iniziato con i clienti dei tuoi amici che le hanno dato le loro credenziali invece di creare un nuovo account sui loro portali per lei ... È male.

Mettendo da parte c'è un modo per far entrare il dipendente senza rivelare la password. Potresti usare questa estensione per Chrome:

link

e trasferire il cookie di autenticazione dal computer connesso al computer dell'altro dipendente.

Tutto questo è davvero approssimativo, e tuttavia traballante. Abbozzato perché stai violando così tante best practice sulla sicurezza, e sei traballante perché ti stai preparando per il fallimento.

In conclusione: devi essere in grado di fidarti dei tuoi dipendenti. Forse può convincere il dipendente a firmare alcuni documenti per consentire di perseguire il dipendente, nel caso cerchi di utilizzare l'accesso per causare danni.

score 0 · Answer 2

Ci sono molte ragioni per non farlo, ma piuttosto per ottenere i dati del cliente attraverso mezzi più sicuri. Mettendo da parte questo e affrontando la domanda fatta:

POTRESTI utilizzare il plug-in del browser LastPass, che ti registra automaticamente in un sito Web e spera che il dipendente part-time non si colleghi al database LastPass per ottenere la password del client in chiaro. Questo approccio fa fondamentalmente ciò che descrivi, gratuitamente e senza ulteriore tecnologia.