Реализовать принципиально "можно, но сложно". Сложно даже не из-за TLS, а потому, что эти действия почти уходят в "серую зону". Теоретически таким же образом скрытое приложение может дождаться пока пользователь на каком-нибудь банке авторизуется и автоматически провести действия со счетами. Поэтому сейчас куда ни взгляни любой браузер, брандмауэр и антивирус стараются пресечь подобные автоматизированные действия. Вроде того, что с сайтом могут взаимодействовать только скрипты из того же домена и точка. И попробуй им всем докажи, что приложение не скрытое и пользователь осознанно его запустил. Совершенно без защиты были только версии ИЕ до 6 включительно.

Если приглядеться точнее, то на указанном сайте авторизация через госуслуги (ЕСИА), о которой Вы забыли упомянуть. Получится слишком много разных контекстов TLS и редиректов, которые проблематично цеплять приложением с других серверов. Страницы скорее всего дополнительно защищены от открытия во фрейме и мгновенно устаревают, повторно использовать из кэша невозможно. Реально головная боль с выцеплением токена удаленным приложением. Вывести редирект на свой сайт приложения тоже скорее всего невозможно, то есть из приложения выкинет редиректами при авторизации на ЕСИА. Такая вот "защита". Более реально уже после авторизации прицепиться к сайту.

Подобную идею можно реализовать полулокально через интернет эксплорер и загрузку приложения в отдельном фрейме внутри страницы сайта (защита как правило только от фреймов снаружи страницы). Сначала авторизоваться без приложения потом запустить приложение во фрейме/ифрейме и найти на странице токен. В хостс прописать адрес сервера приложения как дочерний домен от нужного сайта (для дочерних доменов как правило разрешены запросы). Фрейм можно встроить при помощи расширения браузера (если как в Яндекс браузере) или при помощи локального прокси, изменяющего код сайта (от браузера не зависит, но вероятно понадобится stunnel-msspi чтобы воткнуть прокси в гостовский TLS канал c нужным сертифкатом). В вашем варианте сервер приложения по сути заменяет такой прокси или расширение браузера.

Хотя с этим тоже могут быть проблемы - когда я попробовал stunnel-msspi применить к ЕГИССО, на другом конце, в придачу к ЕСИА, оказался Випнет тоннель ведущий непонятно куда и потому вмешательство в соединение оказалось невозможно - редиректы выкидывают из тоннеля.

Почему тогда у меня сразу идея об Интернет эксплорер - потому что ИЕ относительно менее "защищен" и в нем есть еще куча смежных технологий вроде hta или wsf, которые используют кэш и куки ИЕ, но выполняются локально и с меньшими ограничениями чем приложение с какого-то удаленного сервера. Они локальные и потому не имеют значения Origin, могут отправлять запросы куда угодно без всяких прописок на дочерний домен и на сайт и на сервер приложения. Могут подавить защиту от открытия внутри фрейма. Однако есть заморочки с куками, лучше всего нормальным способом зайти на сайт через ИЕ, а уже потом действовать приложением hta или wsf использующим тот же движок и кэш ИЕ.

Думаю достаточно информации Вам для размышления. Добавлю, что не забудьте при автоматических действиях обязательно поставить интервал между действиями, чтобы это было похоже на действия человека, иначе это могут посчитать атакой и забанить Ваш адрес. Особенно если это будет идти с одного адреса сервера приложения.

Отредактировано пользователем 23 октября 2018 г. 6:23:25(UTC)  | Причина: Не указана