Чи захищений я від програмного забезпечення для моніторингу мережі, якщо використовується HTTPS?

Я буду входити на свій банківський рахунок та особисті рахунки електронної пошти на роботі. На роботі це не заборонено, але я просто не хочу, щоб вони зберігали / записували копію всього, що я роблю з цими послугами. Особливо мої паролі.

Якщо послуга використовує з'єднання HTTPS, чи зможе моя компанія відслідковувати / зберігати / записувати мої паролі, які я використовую для цих послуг? як щодо вмісту сторінок?

Знову-таки, правила в моїй компанії не забороняють користуватися моїм особистим обліковим записом електронної пошти чи послугами Інтернет-банкінгу, але я просто не хочу, щоб вони знали про них важливу інформацію. Добре, якби вони знали, що я їх використовую, але вони не повинні отримати доступ до моїх паролів.

Чи можу я їх безпечно використовувати (знаючи, що моя компанія не може зберегти жодну з цих даних), якщо використовується HTTPS?

PS Я насправді не мережевий хлопець і не знаю багато про те, як ці речі працюють. Тому, будь ласка, не дайте жодних відповідей RTFM.

Перш ніж відповісти: Якщо веб-переглядач попереджає про те, що сайт використовує неякісне шифрування або надає неправильну інформацію про ідентифікацію, важливо прочитати помилку, зрозуміти її та подумати над тим, чи хочете ви продовжувати.

Короткий відповідь: Так, якщо ви використовуєте надійний пристрій

Довга відповідь:

Якщо хтось контролює ваш зв’язок з іншого комп’ютера (десь між вами та вашим банком), а ви використовуєте HTTPS, і вони використовують підписані сертифікати з відповідним сильним алгоритмом, то вам все зрозуміло. (Якщо вони не зберігають дані роками та пізніше читають їх після того, як алгоритм буде порушений, - але, швидше за все, їм буде краще проникнути у ваш будинок і викрасти ваші речі;)).

Швидше за все, якщо це ваш банк, то вони використовують підписані сертифікати з відповідним сильним шифром. Ви можете перевірити це, переглянувши інформацію про SSL для сторінки, яка повинна відображатися, якщо ви подивитесь на інформацію про сторінку, натисніть на блакитне або зелене ім’я зліва в адресному рядку з Firefox 3.5 або натисніть на блокування, щоб справа в адресному рядку в IE8. Firefox також відобразить використаний алгоритм шифрування, якщо після натискання на кольорову область виберіть Більше інформації .

Якщо ви не довіряєте пристрою, який ви використовуєте для підключення (наприклад, комп’ютер, який не є вашим власним, який могли б змінити інші), це викликає велике занепокоєння. Тепер ваше робоче місце, швидше за все, не збирається робити щось незаконне, як-от переглядати вашу банківську інформацію; але SSL може бути підірвано, якщо ваша система порушена. Можливо, ваш комп'ютер налаштований на прийняття сертифікатів, підписаних проксі (перевірка сертифіката чи закріплення сертифікату це зірве). Однак спостереження може бути де завгодно - кейлоггеру навіть не потрібно перемогти SSL, щоб захопити, наприклад, ваші банківські дані. SSL робить це таким чином, що вам не потрібно довіряти зв’язку між двома надійними кінцевими точками, але якщо сама кінцева точка не є довіреною, всі ставки відміняються.

Ні, не обов'язково. Ваша компанія може надіслати ваше з'єднання через проксі-сервер, який виконує функцію "посередник". Тобто: увесь трафік HTTPS переходить від вашої машини до проксі, там розшифровується, аналізується, шифрується та відправляється на сервер. Ваша машина не використовуватиме сертифікат безпеки від сервера, але натомість проксі-сервер генерує один для даного веб-сайту та надсилає вам його, тож у вас дійсно є два з'єднання HTTPS: від вас до проксі та від проксі до сервера.

В іншому випадку, щоб створити сертифікат, компанії необхідно мати сервер сертифікатів. Зазвичай браузер заперечує тут і скаржиться на те, що органу сертифікації не довіряють, але, звичайно, це може бути відмінено через групову політику тощо.

Це не обов'язково недоброзичлива робота роботодавця, оскільки це може бути частиною антивірусної концепції або через юридичні причини.

У своєму браузері подивіться на сертифікат. Тим більше, подивіться на сертифікаційний орган. Якщо сертифікат видається таким "справжнім" CA, як Thawte, VeriSign тощо, то це означає, що ви використовуєте цей сервер із сервера, і ви повинні бути в безпеці. Однак якщо він видається чимось на кшталт "YourCompany-AV" або подібним, то у вас є проксі-сервер.

Взагалі кажучи, ви в безпеці. Оскільки, коли ви відвідуєте веб-сайт банку через https-з'єднання, усі дані, такі як ім’я користувача та пароль, шифруються, важко розшифрувати їх за дуже короткий час, якщо вони дуже добре не знають алгоритм шифрування. . Однак є й інші атаки, такі як реєстратор ключів, людина посередині працюватиме, якщо вони обізнані. Завжди звертайте увагу на оточення, перш ніж вводити конфіденційну інформацію.

Якщо ви використовуєте машину, що належить компанії, і ви погодилися з політикою компаній, під рукою можуть виникнути проблеми, характерні для вашої компанії. Не знаючи жодних додаткових деталей, я б сказав, що ви повинні бути захищеними, але я повинен збалансувати це з застереженням. Технічно це можливо, але якщо ви ведете «нормальне» життя, є багато речей, з якими ви стикаєтеся щодня, які представляють набагато більш імовірний ризик для ваших особистих даних, ніж сценарій, про який ви запитуєте.

Деякі основні речі, які слід пам’ятати. Компанія все ще може бути в курсі, які сайти ви відвідуєте і на який термін. Дані можуть бути зашифровані, але вони все одно повинні бути маршрутизовані, щоб адреса, з якої дані переходять і на яку буде відкрита.

Поради в інших відповідях щодо використання будь-яких функцій захисту вашого браузера є хорошими. Додам, що вам слід скористатися часом, щоб переглянути політику своїх компаній, що стосуються персональних даних на робочих машинах.

Банки зазвичай використовують шифрування 128 біт або вище. Перевірте властивості їх сервера SSL або навіть попросіть когось із їх технічної підтримки, щоб дізнатися, що це таке. Якщо це менше 128, я б запропонував не використовувати його. Але якщо це 128 або більше, ви повинні бути добре. Якщо хтось із мережі з Ettercap, Wireshark, Shijack і масивним чіпом на плечі не має щось проти вас. Якщо ви переживаєте за це, тоді просто не використовуйте чистий банкінг на роботі. Знову ж таки, що зупинити, щоб хтось тріщив ваш комп’ютер вдома, щоб отримати вашу банківську інформацію? Ви, мабуть, безпечніші на роботі. Мої менеджери ледве перевіряли мою історію браузера - я хотів би, щоб вони зламали шифрування SHA1-RSA, надане SST-сертом.

Ефективно ви в безпеці просто тому, що адміністратори мережі мають краще робити. Технічно ні, ваші дані не є безпечними. Ви не сказали, в якому полі ви знаходитесь, але, наприклад, робота кол-центру матиме системи, які надзвичайно контролюються. Шифрування даних не має значення, чи реєструються натискання клавіш і екран знімається як частина звичайної роботи. Якщо ви переживаєте, що адміністратори можуть схильні переглядати інформацію про ваш банківський рахунок, то НЕ використовуйте свій робочий комп'ютер для банківських операцій.

Компанії часто використовують проксі-сервер і брандмауери для аналізу мережі, але ви можете бути впевнені, що трафік https не може бути понюханий жодним із них. Це основний принцип https, щоб запобігти атаці "людина-в-середині".

Можна зберегти пакети та зламати шифрування rsa пізніше, хоча оскільки Інтернет базується на комутації пакетів, навряд чи у будь-якого зловмисника буде достатньо речовини, щоб відновити пакети TCP.

Все і все можливо.