Il mio proxy dell'azienda potrebbe conoscere il contenuto di una richiesta https?

Come ad esempio accedere al mio conto bancario o sapere quali informazioni invio tramite HTTP?

Non so quale server proxy abbia.

  • Plesk HTTPS problemi di installazione e directory
  • Sicurezza del firewall - vasi di miele e drenaggi - pensieri?
  • Il nostro revisore di sicurezza è un idiota. Come faccio a dare lui le informazioni che vuole?
  • Blocca l'accesso dei dipendenti alla cloud pubblica
  • Qual è il nome utente e come è stato creato?
  • VPN - Man-in-the-middle quando si connette a un servizio https?
  • 2 Solutions collect form web for “Il mio proxy dell'azienda potrebbe conoscere il contenuto di una richiesta https?”

    Assolutamente. Alcuni proxy di livello enterprise supportno la nuova crittografia delle connessioni che il tuo browser utilizza utilizzando un'autorità di certificazione aziendale. In sostanza, il team di amministrazione può spingere un certificato alla tua workstation tramite le politiche di gruppo e aggiungerlo all'elenco delle autorità attendibili. Il proxy ha quindi la chiave privata corrispondente a tale certificato e genera un certificato per each nome host in volo. Poi quando il tuo browser si connette il proxy usa HTTPS per connettersi alla destinazione, ma poi crittografa il tunnel effettivo al tuo browser utilizzando il certificato e la chiave privata di cui sopra.

    Ci sono anche open source e proxy gratuiti in grado di questa intercettazione (che è solo un attacco MITM reso facile dagli amministratori che hanno accesso all'elenco dei certificati attendibili su each workstation).

    Modifica: è ansible individuare questo controllo controllando chi ha firmato il certificato per ciascun sito HTTPS, ma il nome può anche corrispondere ai certificati esistenti, pertanto dovresti confrontare l'impronta digitale con un bene conosciuto di ciascuna autorità di certificazione.

    Generalmente non (vedere la mia modifica qui sotto). HTTPS è crittografato end-to-end – così il tuo PC sta eseguendo la crittografia e la decrittografia, così come il computer server dall'altra estremità. Tutto ciò che è sul filo è crittografato, quindi il computer del proxy server sta solo vedendo i cifrati di cifratura che scorrono.

    Ora, con quel keylogger che il reparto IT installato sul tuo PC …> sorriso <

    Seriamente, però, se qualcuno amministra la macchina che utilizzi per accedere a siti web sensibili, potrebbero avere software o hardware installati sul PC per monitorarli. Non so quanto ti fidi nel tuo datore di lavoro, ma non accetto siti web sensibili come la banca da computer che sono amministrati e / o posseduti da altri.

    Edit:

    Gee– Vorrei essere andato avanti e digitato quel paragrafo che stavo pensando ad aggiungere re: un proxy che fa un automatico attacco uomo-in-the-middle, "cuz credo che ci sono davvero prodotti ombrosi là fuori che può Fai quello! Follia.

    A quanto pare ci sono dispositivi che possono eseguire gli attacchi automatici in modo automatico contro SSL. Essi richiedono che un certificato CA sia installato sul computer client "vittima" poiché il proxy definirà per definizione il certificato falso per each sito HTTPS che tenta di intercettare la comunicazione.

    Sosterrò la mia dichiarazione di cui sopra: non accedi a siti web sensibili da clienti che non amministrano / posseggono. Nel caso di uno di quei server proxy "man-in-the-middle" male che Luke ha citato nel suo post, il tuo personal computer non avrebbe il certificato di certificato di certificato caricato per la CA del server proxy e quindi get un avviso nel tuo browser che il sito web dispone di un certificato rilasciato da una CA sconosciuta.

    Il pensiero di un tale prodotto mi dà un cattivo sapore in bocca. L'unica utility che posso vedere in un tale dispositivo è spiare gli utenti.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.