Per il tuo utente domestico medio, servizi come GMail (che vengono eseguiti su TLS) non trapelerebbero informazioni come il nome utente all'ISP o all'amministratore di rete.

Se stai utilizzando una macchina che è anche amministrato dall'amministratore della LAN (ad esempio, un computer di lavoro collegato a un dominio gestito dall'azienda), quindi devi presumere che possano leggere qualsiasi cosa tu faccia su di esso. Potrebbero avere un software per registrare la tua attività (navigazione e / o sequenze di tasti), potrebbero aver installato certificati SSL aggiuntivi che consentono loro di MITM la tua connessione a GMail (o qualsiasi altro sito).

Se credi che il tuo il computer non è stato manomesso e non è sotto il controllo di qualcuno di cui non ti fidi (cioè, l'amministratore della LAN non controlla la tua macchina), quindi puoi connetterti a GMail su https. (A questo punto, l'amministratore della LAN equivale a un utente malintenzionato su Internet.) Assicurati di connetterti a https://mail.google.com con un certificato valido, quindi tutto il traffico tra il tuo computer e i server GMail sono crittografati. Ciò includerebbe tutte le informazioni sul tuo account, incluso il nome utente con cui hai effettuato l'accesso.

Per completare le risposte di @ David e @ Steve:

• Se l'attaccante ("Adam", nel tuo caso) ha accesso amministrativo alla tua macchina, allora può apprendere tutte le tue segreti. L'installazione di una CA radice aggiuntiva, sotto il suo controllo, per eseguire la routine di intercettazione MitM sulle connessioni SSL è uno strumento popolare per gli amministratori di sistema onesti (ma ficcanaso): è uno- tempo di installazione che non sarà compromessa dagli aggiornamenti software e non incorrerà in problemi di compatibilità con altri software come l'antivirus. Tuttavia, un amministratore di sistema più ficcanaso che vuole che il suo spionaggio rimanga discreto ha molte altre opzioni, come l'installazione di keylogger, strumenti di cattura dello schermo e in generale il saccheggio dei dati direttamente dalla RAM della macchina.

• Se l'attaccante non ha accesso alle viscere della tua macchina, allora dovrebbe essere tenuto fuori dai tuoi scambi SSL. Sarà comunque in grado di notare quando ti connetti a Gmail e può osservare la dimensione esatta degli elementi di dati scambiati con Gmail. Probabilmente può calcolare la lunghezza (in caratteri) del tuo indirizzo Gmail.

  Come osserva @Steve, un indirizzo Gmail non è progettato per essere un segreto e trapelerà molti posti. In ogni caso, come un indirizzo email , è necessariamente condiviso con altre persone (coloro che ti inviano email), e quindi non può essere considerato veramente segreto.

  Se usi Google+ (indicizzato dal tuo indirizzo email), il malvagio amministratore di sistema noterà la tua attività e potrebbe metterla in relazione con l'attività visibile su alcuni account Google+ candidati. Dopotutto, se ti sta cercando, allora è interessato a te e potrebbe anche mostrare un po 'di dedizione e seguirti in modo competente.

Come dice David, il provider della tua rete di solito non può vedere i dati trasmessi tramite connessioni https.

Tuttavia, il tuo indirizzo Gmail non viene necessariamente trasmesso solo tramite connessioni https. Ad esempio, se accedi a StackExchange utilizzando il tuo account Gmail segreto e visiti la versione http (non https) della pagina del tuo profilo utente, il tuo indirizzo Gmail ti viene inviato non protetto nei contenuti di quella pagina. Il provider della tua connessione di rete potrebbe quindi vederlo. Lo stesso può essere vero per altri siti che utilizzano https per l'accesso OAuth ma non per tutto il traffico.

Inoltre, come user49372 sottolinea, se Adam è disposto a montare un uomo attivo -in-the-middle attack e se accedi a StackExchange utilizzando il tuo indirizzo Gmail segreto, potrebbe iniettare materiale nel tuo normale traffico http che reindirizzerebbe il tuo browser alla versione http della pagina del tuo profilo StackExchange.

Quindi sì, ci sono modi concepibili in cui Adam o Ike potrebbero impararlo anche supponendo che non possano interferire con la tua macchina o superare in altro modo la sicurezza fornita da https.

Utilizzando l'idea di Steve Jessops, il tuo provider potrebbe iniettare iframe o reindirizzamenti nel tuo normale traffico http, che caricherà il tuo profilo su stackexchange non protetto con http o qualsiasi altra pagina che fa lo stesso.

L'unica risposta che non ho visto qui è quella relativa ad ambienti aziendali, come il mio, dove le macchine aziendali accedono alla 'rete attraverso un filtro / proxy, che consente agli "amministratori" di ispezionare il traffico SSL, tramite costringendo le macchine client a considerare attendibili il certificato SSL del filtro web / webproxy. Il filtro web / proxy web quindi impersona il computer client a Google (o qualsiasi altro servizio online), scarica il contenuto e quindi lo ritrasmette al computer client impersonando Google (o qualsiasi altro servizio online) al client.

Questo è, in effetti, un attacco MITM, ma è abbastanza comune che penso sia opportuno menzionarlo, in particolare.

Se accedi alla rete tramite un proxy o un filtro impostato per ispezionare il traffico SSL , quindi ai tuoi amministratori , tutto ciò che viene fatto tramite https è visualizzabile come se fosse stato inviato come testo normale.