Czy jestem zabezpieczony przed oprogramowaniem do monitorowania sieci, jeśli używany jest HTTPS?

Będę logować się na swoje konto bankowe i osobiste konta e-mail w pracy. Nie jest zbanowany w pracy, ale po prostu nie chcę, aby zapisywali / rejestrowali kopie wszystkiego, co robię z tymi usługami. Zwłaszcza moje hasła.

Jeśli usługa korzysta z połączenia HTTPS, czy moja firma będzie w stanie śledzić / zapisywać / rejestrować moje hasła, których używam do tych usług? co z zawartością stron?

Ponownie, zasady w mojej firmie nie zabraniają korzystania z mojego osobistego konta e-mail lub usług bankowości internetowej, ale po prostu nie chcę, aby znały ważne informacje na ich temat. Jest w porządku, jeśli wiedzą, że ich używam, ale nie powinni uzyskać dostępu do moich haseł.

Czy mogę bezpiecznie z nich korzystać (wiedząc, że moja firma nie może zapisać żadnych z tych danych), jeśli używany jest HTTPS?

PS Naprawdę nie jestem facetem od sieci i nie wiem wiele o tym, jak te rzeczy działają. Więc proszę nie udzielaj żadnych odpowiedzi RTFM.

Przed udzieleniem odpowiedzi: jeśli przeglądarka ostrzega, że ​​witryna używa słabego szyfrowania lub podaje nieprawidłowe informacje o tożsamości, ważne jest, aby przeczytać błąd, zrozumieć go i zastanowić się, czy chcesz kontynuować.

Krótka odpowiedź: Tak, jeśli używasz zaufanego urządzenia

Długa odpowiedź:

Jeśli ktoś monitoruje twoje połączenie z innego komputera (gdzieś między tobą a twoim bankiem), a ty używasz HTTPS, a oni używają podpisanych certyfikatów z odpowiednio silnym algorytmem, oznacza to, że nie masz wątpliwości. (Chyba że przechowują dane przez lata, a później czytają je po złamaniu algorytmu - ale prawdopodobnie lepiej byłoby włamać się do twojego domu i ukraść twoje rzeczy;)).

Możliwe, że jeśli to twój bank, używają podpisanych certyfikatów z odpowiednio silnym szyfrem. Możesz to sprawdzić, patrząc na informacje SSL dla strony, które powinny być wyświetlane, jeśli spojrzysz na informacje o stronie, kliknij niebieską lub zieloną nazwę po lewej stronie paska adresu w przeglądarce Firefox 3.5 lub kliknij blokadę, aby prawo w pasku adresu w IE8. Firefox wyświetli również zastosowany algorytm szyfrowania, jeśli wybierzesz opcję Więcej informacji po kliknięciu na kolorowy obszar.

Jeśli nie ufasz urządzeniu, którego używasz do połączenia (np. Komputerowi, który nie jest twoim własnym, który mógłby zostać zmodyfikowany przez innych), to jest to poważniejsze. Teraz Twoje miejsce pracy prawdopodobnie nie będzie robić nielegalnych działań, takich jak przeglądanie informacji bankowych; ale możliwe jest osłabienie protokołu SSL w przypadku naruszenia bezpieczeństwa systemu. Możliwe, że Twój komputer jest skonfigurowany do akceptowania certyfikatów podpisanych przez proxy (kontrola certyfikatu lub przypinanie certyfikatów może to uniemożliwić). Jednak nadzór może być wszędzie - keylogger nawet nie musiałby pokonać SSL, aby na przykład przechwycić twoje dane bankowe. SSL sprawia, że ​​nie trzeba ufać połączeniu między dwoma zaufanymi punktami końcowymi, ale jeśli sam punkt końcowy jest niezaufany, wszystkie zakłady są wyłączone.

Nie, niekoniecznie. Twoja firma może wysłać Twoje połączenie za pośrednictwem serwera proxy, który działa jak człowiek pośredni. To znaczy: Cały ruch HTTPS przechodzi z komputera do serwera proxy, jest tam odszyfrowywany, analizowany, szyfrowany i wysyłany na serwer. Twój komputer nie będzie używał certyfikatu bezpieczeństwa z serwera, ale zamiast tego proxy wygeneruje jeden dla danej witryny i wyśle ​​go do ciebie, więc naprawdę masz dwa połączenia HTTPS: od ciebie do proxy i od proxy do serwera.

Aby tak się stało, firma musi mieć serwer certyfikatów, aby wygenerować certyfikat. Zwykle przeglądarka sprzeciwiałaby się tutaj i skarżyła się, że urząd certyfikacji nie jest zaufany, ale oczywiście można to zastąpić za pomocą zasad grupy i tym podobnych.

Jednak niekoniecznie jest to nieuczciwa gra, ponieważ może być częścią koncepcji antywirusowej lub z przyczyn prawnych.

W przeglądarce spójrz na certyfikat. Zwłaszcza spójrz na urząd certyfikacji. Jeśli certyfikat jest wystawiany przez „prawdziwy” urząd certyfikacji, taki jak Thawte, VeriSign itp., Oznacza to, że używasz certyfikatu z serwera i powinieneś być bezpieczny. Jeśli jednak jest wydawany przez coś takiego jak „YourCompany-AV” lub podobny, oznacza to, że masz pośredniczącego pośrednika.

Ogólnie rzecz biorąc, jesteś bezpieczny. Ponieważ kiedy odwiedzasz stronę banku za pośrednictwem połączenia https, wszystkie dane, takie jak nazwa użytkownika i hasło, są szyfrowane, trudno jest je odszyfrować w bardzo krótkim czasie, chyba że znają dobrze algorytm szyfrowania . Istnieją jednak inne ataki, takie jak rejestrator kluczy, człowiek pośrodku będzie działał, jeśli będzie posiadał odpowiednią wiedzę. Zawsze należy zwracać uwagę na otoczenie przed wprowadzeniem poufnych informacji.

Jeśli korzystasz z komputera należącego do firmy i wyraziłeś zgodę na zasady obowiązujące w firmie, mogą występować problemy specyficzne dla Twojej firmy. Nie znając żadnych dalszych szczegółów powiedziałbym, że powinieneś być bezpieczny, ale muszę to zrównoważyć z zastrzeżeniem. Technicznie jest to możliwe, ale jeśli prowadzisz „normalne” życie, istnieje wiele rzeczy, z którymi zmagasz się każdego dnia, które stanowią znacznie większe ryzyko dla twoich danych osobowych niż scenariusz, o który pytasz.

Kilka podstawowych rzeczy, o których należy pamiętać. Firma może nadal wiedzieć, które witryny odwiedzasz i na jak długo. Dane mogą być zaszyfrowane, ale nadal muszą być trasowane, aby adres, z którego dane przychodzą i do którego są odsłonięte.

Porady w innych odpowiedziach na temat korzystania z funkcji zabezpieczeń przeglądarki są dobre. Dodam, że powinieneś poświęcić chwilę na zapoznanie się z zasadami firmy dotyczącymi danych osobowych na komputerach roboczych.

Banki zazwyczaj używają szyfrowania 128-bitowego lub wyższego. Sprawdź właściwości ich certyfikatu SSL lub nawet poproś jednego z jego wsparcia technicznego, aby dowiedzieć się, co to jest. Jeśli jest poniżej 128, sugeruję, aby go nie używać. Ale jeśli jest to 128 lub więcej, wszystko powinno być w porządku. Chyba że ktoś w sieci z Ettercap, Wireshark, Shijack i potężnym chipem na ramieniu ma coś przeciwko tobie. Jeśli jednak martwisz się tym, po prostu nie korzystaj z bankowości internetowej w pracy. Z drugiej strony, co powstrzyma kogoś przed włamaniem się do komputera w domu, aby uzyskać informacje bankowe? Prawdopodobnie jesteś bezpieczniejszy w pracy. Moi menedżerowie ledwo mogli sprawdzić historię przeglądarki - chciałbym, aby złamali szyfrowanie SHA1-RSA zapewniane przez certyfikat SSL.

W rzeczywistości jesteś bezpieczny po prostu dlatego, że ogólnie administratorzy sieci mają lepsze rzeczy do zrobienia. Technicznie nie, twoje dane nie są bezpieczne. Nie powiedziałeś, w jakiej dziedzinie się znajdujesz, ale na przykład praca call center będzie miała systemy, które są bardzo monitorowane. Szyfrowanie danych nie ma znaczenia, czy naciśnięcia klawiszy są rejestrowane, a ekran przechwytywany w ramach normalnej pracy. Jeśli obawiasz się, że administratorzy mogą chcieć przejrzeć informacje o koncie bankowym, NIE używaj swojego komputera służbowego do bankowości.

Firmy często używają serwerów proxy i zapór ogniowych do analizy sieci, ale możesz być pewien, że ruch https nie może być wąchany przez żadne z nich. To podstawowa zasada https, aby zapobiec atakowi typu man-in-the-middle.

Możliwe jest późniejsze zapisywanie pakietów i łamanie szyfrowania RSA, jednak ponieważ Internet opiera się na przełączaniu pakietów, jest mało prawdopodobne, aby jakikolwiek atakujący miał wystarczającą ilość substancji do odtworzenia pakietów TCP.

Wszystko i wszystko jest możliwe.