[php-noob] фреймграбберы с человеческим лицом ;)

Вся сложность в том что юзер (как и мой php-код) входят под паролем на первый сайт, пароль известен - юзер его задает в самом начале сессии, но если мой код будет заполнять формы от имени юзера, то хотелось бы это делать как можно чище.

Единственное что мне пришло в голову это заполнить формы юзера в другой сессии и следом передать ему линк на эти самые формы с яваскриптом внутри этого линка который залогинится на странице с заполненными формами.

Но это как-то не fair.

Проще бы было заставить юзера залогинится на исходной странице, дать ему выбор Yes/No и заполнить все эти формы.

Или это science fiction? Или незаконно? ;)

Уж не CSRF или вообще фишингом тут попахивает?

Попахивает, но вроде сама задача не до конца незаконна.

Идея такая что юзер имеет большую базу своих данных на "вражеском сайте" и хочет иметь возможность заполнить этими данными разные другие формы на "реальном сайте".

Юзер вколачивает свои login/password данные (зная о том что должно произойти, об этом он имеет соотв. информацию) и php-код на сервере вражеского сайта заполняет формы на реальном сайте и возвращает юзеру линк на последнюю страницу множества заполненных форм.

Единственная проблема (кроме сомнительной законности) в этой всей конструкции это необходимость для юзера ввести свой login/password два раза - один раз на вражеском сайте перед заполнением форм и один раз на реальном сайте после того как вражеский сайт передал юзеру линк на реальный сайт.

У меня есть только три идеи и все звучат как-то ужасно:

1. Я не могу передавать сессии туда сюда между сайтами (это локальная информация). Поэтому вражеский сайт будет proxy - получает GET/POST от юзера - передает GET/POST реальному сайту и обратно. Но в этом случае вражеский сайт должен будет оставаться proxy и после заполнения форм, что очень некрасиво.

2. Вражеский сайт получает от пользователя login/password, заполняет формы и дает юзеру линк на реальный сайт но с яваскриптом который его автоматически sign in.

3. Вражеский сайт после получения от пользователя login/password предлагает ему нажать на кнопку "Fill", которая кнопка кроме обычного <form action=URL> показывает юзеру не только URL но еще и делает от имени юзера (локально, через яваскрипт) GET реальному сайту посылая введенный на вражеском сайте login/password. При этом говорит о том что происходит юзеру в стиле "Do you really want to do blablabla very malicious?"

Показывать сайт-жертву во фрейме и заполнять жабаскриптами?

Жабаскрипты будут должны сосать данные с вражеского сайта. Проще было бы в таком случае заполнять таки пыхпыхом (то есть на стороне вражеского сайта а не клиента)

Хотя подумав это единственный способ заставить юзера залогонится на реальном сайте, показать ему этот факт и заполнять формы наиболее чисто. Просто жабаскрипты засосут данные для заполнения с вражеского сайта - ничего не случилось, интернет сегодня быстрый.

Спасибо за идею!

Умные люди говорят что доступа к iframe между двумя доменами нет и надо делать js-injection через proxy.