我的研究所使用代理validation来监视个人浏览活动。 这通常意味着我需要input我的用户名和密码来使用任何与互联网有关的东西。
但最近我在Windows 7上使用了一个虚拟机(VMware上的Ubuntu),并指出我可以在虚拟机内部浏览,而不需要input任何密码。 我使用干净的系统一次又一次地testing它,以避免密码caching或保存的机会。
这怎么可能 ? 我记得虚拟networking设备被configuration为使用NAT。 即使这样,这不应该是可能的吗?
发生在后面的是什么? 如何加强authentication来处理这样的环路漏洞?
我想到了两种可能性(第二种更可能):
1)您的代理策略可能仅针对浏览器进行configuration,但Internet访问权限不受限制(即,通过Windows域中的组策略对象)。 在这种情况下,浏览器将使用代理服务器,但使用许多其他应用程序(包括在虚拟机内运行的应用程序)。 这是令人惊讶的,因为在networking中提供代理时,通常会过滤HTTPstream量。
2)如果您的代理身份validation是通过一些networking接口完成的,即使通过Windows域login,或通过一些其他的单点login策略(即像Fortigate这样的设备实现的)。 那么你可能在一个系统上,根据你的dynamicIP授予你的访问权限。 在这种情况下,由于您的虚拟机networking使用S-NAT,所以源地址将相同,并且一旦您通过一次authentication,访问将被授予。 在这种情况下,代理可能会或可能不会被configuration在浏览器选项中。