Защищен ли я от программного обеспечения для мониторинга сети, если используется HTTPS?

9

Я буду входить в свой банковский счет и личные учетные записи электронной почты на работе. Это не запрещено на работе, но я просто не хочу, чтобы они сохраняли / регистрировали копию того, что я делаю с этими сервисами. Особенно мои пароли.

Если служба использует соединение HTTPS, сможет ли моя компания отслеживать / сохранять / регистрировать мои пароли, которые я использую для этих служб? как насчет содержимого страниц?

Опять же, правила в моей компании не запрещают использование моей личной учетной записи электронной почты или услуг интернет-банкинга, но я просто не хочу, чтобы они знали какую-либо важную информацию об этом. Это нормально, если бы они знали, что я использую их, но они не должны получать доступ к моим паролям.

Могу ли я безопасно использовать их (зная, что моя компания не может сохранить эти данные), если используется HTTPS?

PS Я действительно не сетевой парень, и я не знаю много о том, как эти вещи работают. Поэтому, пожалуйста, не давайте никаких ответов RTFM.

шарлатан
источник
Вроде уже ответили: с сетью проблема не в этом. Следы, оставленные вашим браузером (на компьютере, который вы используете), гораздо более вероятны. Некоторые браузеры имеют явные настройки для включения / отключения сохранения зашифрованных страниц в автономном кэше. (Как в Firefox: kb.mozillazine.org/Browser.cache.disk_cache_ssl, который по умолчанию равен false, что безопасно.)
Арджан
Я использую режим «приватного просмотра» в Firefox. Я надеюсь, что это не спасет вещи в моей системе.
Нет, гораздо более вероятно, что на вашей рабочей станции установлено программное обеспечение для мониторинга, которое отслеживает и записывает то, что вы делаете.
BBlake
Эй, спасибо за все ответы! Вы многое объяснили. Теперь я понимаю, что возможно и что моя компания могла / не могла делать. Судя по тому, что вы, люди, объяснили, и техническому опыту моей компании, я могу сделать вывод, что они вряд ли узнают материал, отправленный по HTTPS. Спасибо за помощь! :) Я не являюсь участником, поэтому я не мог высказать много ответов, даже если они этого заслуживают.

Ответы:

9

Прежде чем ответить: если браузер предупреждает вас, что сайт использует плохое шифрование или вводит неверную идентификационную информацию, важно прочитать ошибку, понять ее и подумать над тем, хотите ли вы продолжить.

Краткий ответ: Да, если вы используете доверенное устройство

Длинный ответ:

Если кто-то отслеживает ваше соединение с другого компьютера (где-то между вами и вашим банком), и вы используете HTTPS, и они используют подписанные сертификаты с достаточно надежным алгоритмом, то вы в порядке. (Если только они не сохраняют данные годами, а потом читают их после того, как алгоритм нарушен - но им, вероятно, будет лучше взломать ваш дом и украсть ваши вещи;)).

Скорее всего, если это ваш банк, то они используют подписанные сертификаты с достаточно надежным шифром. Вы можете убедиться в этом, посмотрев информацию SSL для страницы, которая должна отображаться, если вы посмотрите на информацию о странице, щелкните на синем или зеленом имени слева в адресной строке с помощью Firefox 3.5 или нажмите на замок, чтобы право в адресной строке в IE8. Firefox также отобразит используемый алгоритм шифрования, если вы выберете « Дополнительная информация» после нажатия на цветную область.

Если вы не доверяете устройству, которое используете для подключения (например, компьютер, который не принадлежит вам и может быть изменен другими), это вызывает большую обеспокоенность. Теперь ваше рабочее место, скорее всего, не будет делать ничего противозаконного, например, просматривать вашу банковскую информацию; но возможно, что SSL будет подорван, если ваша система будет взломана. Возможно, ваш компьютер настроен на прием сертификатов, подписанных прокси (проверка сертификата или закрепление сертификата может помешать этому). Тем не менее, наблюдение может быть где угодно - кейлоггер даже не должен был бы победить SSL, например, чтобы получить ваши банковские учетные данные. SSL делает это так, что вам не нужно доверять соединению между двумя доверенными конечными точками, но если сама конечная точка ненадежна, все ставки отключены.

Тайлер Сабо
источник
Ладно. Взять хотя бы hotmail. Если я выбираю «использовать повышенную безопасность» при входе в систему, он переключается на соединение HTTPS. в Firefox адресная строка зеленая, и из того, что там отображается, я думаю, она довольно безопасна. Если взять это в качестве примера, то для практических целей совершенно нормально использовать веб-сайты с таким типом HTTPS-соединения, зная, что никто (по крайней мере, в ближайшие пару месяцев) не сможет расшифровать информацию. Я прав?
Я бы так подумал. Я был бы удивлен, если бы сетевой администратор получил доступ к вашему банковскому счету, используя только сетевой трафик, когда вы используете HTTPS. С учетом вышесказанного существуют и другие способы, которыми вы можете быть уязвимы даже при использовании безопасного соединения, и вы должны следовать инструкциям своего банка о том, как использовать их сайт - например, всегда выходить из системы после завершения (в отличие от закрытия окна), а не просмотр других сайтов во время банковского обслуживания. Всегда используйте обновленный браузер и убедитесь, что на вашем компьютере установлена ​​антивирусная программа.
Тайлер Сабо
6

Нет, не обязательно. Ваша компания может отправить ваше соединение через прокси, который действует как посредник. То есть: весь трафик HTTPS идет от вашего компьютера к прокси, там дешифруется, анализируется, шифруется и отправляется на сервер. Ваша машина не будет использовать сертификат безопасности с сервера, но вместо этого прокси-сервер сгенерирует его для данного веб-сайта и отправит его вам, поэтому у вас действительно будет два HTTPS-соединения: от вас к прокси-серверу и от прокси-сервера к серверу.

Для того чтобы это произошло, компания должна иметь сервер сертификатов для генерации сертификата. Обычно браузер возражает здесь и жалуется, что центр сертификации не является доверенным, но, конечно, это может быть переопределено с помощью групповых политик и т.п.

Тем не менее, это не обязательно нечестная игра работодателя, так как это может быть частью антивирусной концепции или по юридическим причинам.

В вашем браузере посмотрите на сертификат. Особенно посмотрите на центр сертификации. Если сертификат выдан «настоящим» центром сертификации, таким как Thawte, VeriSign и т. Д., Это будет означать, что вы используете сертификат с сервера, и вы должны быть в безопасности. Однако, если он выпущен чем-то вроде «YourCompany-AV» или подобным, то у вас есть прокси-сервер «человек посередине».

Майкл Стум
источник
2
Я думаю , что, возможно , следует подчеркнуть здесь. Обычные прокси не создают сертификаты на лету и не дешифруют трафик HTTPS (но поддерживают метод CONNECT).
Арджан
1
... но опять же : вопрос Аскер это касается, поэтому , возможно , это так же хорошо , чтобы перечислить все возможности. (А может быть, есть больше компаний с таким прокси, чем я мог себе представить? +1 в конце концов!)
Арджан
Правда, обычно прокси просто пропускают HTTPS-трафик, поскольку ничего с ним не могут поделать, и я не знаю, повышается ли HTTPS-Inspection, но я видел, как это происходит, поэтому я просто подумал, что укажу на такую ​​возможность.
Майкл Стум
Я не знаю, насколько распространена практика, но мой работодатель делает это. AFAIK, чтобы убедиться, что мы не отправляем проприетарные данные из сети через SSL.
Дэн возится с огнем
1
@senthil Смысл HTTPS заключается в шифровании трафика и идентификации участников . Любой, кто контролирует линию, теоретически может быть человеком посередине (следовательно, это даже называется атакой «человек посередине»), но в отличие от незашифрованного HTTP, это не останется незамеченным. Как сказано, проверь сертификат и кто его выдал. Обычно невозможно подделать сертификат (в некоторых версиях Debian Linux была ошибка, которая позволяла подделывать сертификаты, но пока это был единичный случай).
Майкл Стум
1

Вообще говоря, вы в безопасности. Поскольку при посещении веб-сайта банка через соединение https все данные, такие как имя пользователя и пароль, шифруются, их очень трудно расшифровать за очень короткое время, если они не очень хорошо знают алгоритм шифрования. , Тем не менее, есть и другие атаки, такие как клавиатурный шпионов, человек в середине будет работать, если они хорошо осведомлены. Всегда обращайте внимание на окружающую среду, прежде чем вводить конфиденциальную информацию.

Джон
источник
человек посередине будет работать, если они знающие - с HTTPS?
Арджан
1

Если вы используете принадлежащий компании компьютер и согласились с политикой компании, могут возникнуть проблемы, характерные для вашей компании. Не зная каких-либо подробностей, я бы сказал, что вы должны быть в безопасности, но я должен сбалансировать это с одной оговоркой. Технически это возможно, но если вы ведете «нормальную» жизнь, есть множество вещей, с которыми вы сталкиваетесь каждый день, и которые представляют гораздо больший риск для ваших личных данных, чем сценарий, о котором вы спрашиваете.

Некоторые основные вещи, которые нужно знать. Компания все еще может знать, какие сайты вы посещаете и как долго. Данные могут быть зашифрованы, но их все равно необходимо маршрутизировать, чтобы раскрыть адрес, с которого данные поступают и куда.

Другие советы о том, как использовать все функции безопасности вашего браузера, хороши. Я добавлю, что вам следует уделить время рассмотрению политик вашей компании, касающихся личных данных на рабочих машинах.

Джейсон Аллер
источник
Привет, как я уже говорил, меня не беспокоит, что они знают, какие сайты я посещаю и как долго, пока они не знают, что я печатаю в текстовых полях. И я абсолютно уверен, что у них нет регистраторов ключей.
1

Банки обычно используют 128-битное шифрование или выше. Проверьте свойства их сертификата SSL или даже попросите одного из техподдержки выяснить, что это такое. Если он ниже 128, я бы предложил не использовать его. Но если это 128 или более, вы должны быть в порядке. Если кто-то в сети с Ettercap, Wireshark, Shijack и огромным чипом на плече не будет против вас. Однако, если вас это беспокоит, просто не используйте сетевой банкинг на работе. Опять же, что может помешать кому-нибудь взломать ваш компьютер дома, чтобы получить банковскую информацию? Вы, вероятно, безопаснее на работе. Мои менеджеры едва могли проверить историю моего браузера - мне бы хотелось, чтобы они взломали шифрование SHA1-RSA, предоставляемое сертификатом SSL.

user26528
источник
ROFLOL .. Я не переставал смеяться в течение 2 минут после того, как прочитал вашу последнюю строчку: D
Вы только что связали кучу связанных слов?
Брайан Бетчер
0

На самом деле вы в безопасности просто потому, что обычно у сетевых администраторов есть дела поважнее. Технически, нет, ваши данные не являются безопасными. Вы не сказали, в какой области вы работали, но, например, в работе колл-центра будут системы, которые будут тщательно контролироваться. Шифрование данных не имеет значения, регистрируются ли нажатия клавиш и снимок экрана как часть нормальной работы. Если вы беспокоитесь о том, что администраторы могут склоняться к просмотру информации о вашем банковском счете, НЕ используйте свой рабочий компьютер для банковских операций.

DHayes
источник
-1

Компании часто используют прокси-серверы и брандмауэры для анализа сети, но вы можете быть уверены, что ни один из них не сможет прослушать трафик https. Это основной принцип https - предотвращение атаки «человек посередине».

Фернандо Карвахаль
источник
Не забудьте добавить ссылку для поддержки вашего комментария, чтобы, если они захотят узнать больше об этом, они могли быть уверены?
fernando.reyes
«Но вы можете быть уверены, что ни один из них не сможет прослушать трафик https». Я могу подтвердить, что это ложно во многих компаниях, на самом деле, многие антивирусные программы безопасности также делают это утверждение ложным, это крайне и опасно ложно
Ramhound
@ Обнаружить, что вы крайне неправы, очевидно, что ваше антивирусное программное обеспечение может перехватить ваш трафик, потому что вы разрешили его ранее, он находится на вашем компьютере. Если вашей компании принадлежит ваш офисный ПК, то очевидно, что они могут перехватывать ваш трафик, они могут устанавливать ssl-сертификаты на ваш компьютер, поэтому ваш браузер будет доверять им, и тот, кто имеет закрытый ключ, сможет просматривать ваши пакеты. Если вы принесете свой персональный компьютер в свой офис, никто не сможет прослушать ваш трафик. Вы крайне и опасно неправы.
Фернандо Карвахаль
Автор этого вопроса не использует BYOD. , Это понятно исходя из контекста вопроса, который они используют на компьютере компании. Вы никогда не делали разъяснения BYOD в своем ответе. Вы сказали, что это невозможно, «но вы можете быть уверены, что ни один из них не сможет прослушать трафик https», что на самом деле не так. В конце концов, не имеет значения, кто прав, а кто нет.
Ramhound
-2

Впоследствии можно сохранить пакеты и нарушить шифрование RSA, хотя, поскольку Интернет основан на коммутации пакетов, маловероятно, что у любого злоумышленника будет достаточно вещества для восстановления пакетов TCP.

Все и все возможно.

Рекурсия
источник
Вы можете использовать 1024-битный RSA в течение нескольких месяцев на сотнях компьютеров ( pcworld.com/article/id,132184-pg,1/article.html ), а 2048-битный в настоящее время не так уж редок.
Уайткварк
ОК, мне все равно, если его 399 тысячелетий, все еще возможно.
Рекурсия
Однако, кто потратит все эти вычислительные мощности, чтобы разорвать банковское SSL-соединение, если в этом пользователе нет ничего подозрительного? Как уже было сказано, если вы обычный работник и уже не делаете ничего противозаконного, вам не стоит беспокоиться, если у вашего босса нет веских причин шпионить за вами. Ему было бы проще спрятать полдюжины веб-камер, чтобы шпионить за вашими нажатиями клавиш, чем расшифровать ваш трафик SSL.
jfmessier
Хорошо, и снова, ОП спросил, возможно ли это, а не возможно ли это. Продолжайте голосовать, пожалуйста.
Рекурсия
, приятно, что вы нашли время ответить :). Я предполагаю, что практичность подразумевалась в моем вопросе. Зачем мне все равно, если кто-то узнает данные моего банковского счета через 399 000 лет после моей смерти? : P