Al lavoro la mia azienda utilizza un software di monitoraggio di Internet (Websense). So che se visito un sito crittografato con https ssl (come https://secure.example.com) non possono vedere cosa sto facendo sul sito poiché tutto il traffico è crittografato . Ma vedono che ho visitato https://secure.example.com?
Viene stabilita una connessione crittografata prima di eseguire qualsiasi richiesta HTTP (ad esempio GET , POST , HEAD , ecc.), ma il nome host e porta sono visibili.
Esistono molti altri modi per rilevare anche quali siti stai visitando, ad esempio:
Un modo popolare per eludere un proxy Websense è stabilire prima una connessione tramite HTTPS a un proxy esterno ( ad esempio https://proxy.org/) e fai la tua richiesta da lì.
È possibile, ma richiede alcune impostazioni. Ecco come si fa e come si può sapere.
Su un computer aziendale, dove gli aggiornamenti software vengono inviati da una posizione centrale, è possibile inviare al computer un certificato "attendibile" che essere archiviato accanto al certificato attendibile di, ad esempio, Verising o Entrust.
Il proxy della tua azienda manterrà la chiave privata di quel certificato.
Quando visiti un sito web HTTPS, come https://mybank.com/, il proxy si metterà al centro. Stabilirà una connessione HTTPS con il tuo browser generando al volo un certificato per mybank.com. Riprodurrà (e possibilmente monitorerà o registrerà) tutto il traffico su una nuova connessione, dal proxy a mybank.com.
Puoi capire se questo è il caso guardando l'icona del lucchetto. Se vedi che il certificato per mybank.com è stato emesso da acmesprockets.com (il nome della tua azienda), allora sai che possono vedere il tuo traffico "crittografato". Tuttavia, poiché la tua azienda può costringere il tuo computer a considerare attendibile qualsiasi certificato, potrebbe creare un certificato utilizzando un nome ben noto, come "Entrust.net Secure Server Certification Authority" (anche se ciò sarebbe probabilmente illegale ai sensi di alcune leggi sui marchi).
Allora come puoi dirlo? Dopo esserti connesso al sito web, guarda il certificato. I dettagli variano per ogni browser, ma di solito fare clic sull'icona del lucchetto accanto a https è il punto di partenza. Da quel certificato, trova l'identificazione personale del certificato e cercala online . Meglio ancora, fai la stessa cosa con l'autorità di certificazione. Se non trovi l'identificazione personale del certificato online (ma puoi farlo quando sei a casa o al telefono), è probabile che il tuo traffico HTTPS venga decrittografato lungo il percorso.
Anche un semplice proxy vedrà e registrerà i nomi dei server . Ad esempio, visitando https://example.com/some/address.html verrà creata una richiesta come questa dal browser al server proxy:
CONNECT example. org: 443 HTTP / 1.1User-Agent: Mozilla / 5.0 (X11; Linux x86_64; rv: 2.0b13pre) ... Connessione proxy: keep-alive Host: example.org Il il resto della connessione è crittografato e un semplice proxy lo inoltra.
.
Esistono, tuttavia, proxy più complessi server , che sono in grado di vedere il traffico completo in testo normale . Questi tipi di server proxy, tuttavia, richiedono che tu abbia un certificato root installato per il quale possono creare certificati server al volo.
Guardando la catena di certificati nel browser di solito rivela questo tipo di uomo nella attacco medio. Almeno nel caso comune che venga fatto dalla tua stessa azienda e non da agenzie statali:
Con HTTPS, il tunnel SSL / TLS viene stabilito prima e il traffico HTTP avviene solo all'interno di quel tunnel. Alcune informazioni continuano a trapelare:
Se il client utilizza un proxy, la connessione al proxy sarà simile a: CONNECT www.example.com:443 con il nome del server di destinazione. In alternativa, il client potrebbe inviare l'indirizzo IP del server di destinazione, ma questo è solo marginalmente meno rivelatore; e, per conoscere l'indirizzo IP del server, il client deve eseguire una risoluzione dei nomi, utilizzando i server DNS forniti dalla società stessa.
Client abbastanza recenti invieranno il nome del server di destinazione come parte dell'handshake SSL iniziale (che è l'estensione Server Name Indication).
Il server risponde inviando il suo certificato, che include, in vista semplice e, per definizione, il nome del server.
Da questi possiamo concludere che il nome del server di destinazione è decisamente non un segreto. Puoi presumere che la tua azienda lo impari.
Il resto della comunicazione è crittografata, quindi è nominalmente inaccessibile da estranei. Tuttavia, la lunghezza dei pacchetti di dati inviati e ricevuti dal client può ancora essere dedotta da qualsiasi intercettatore (con accuratezza a byte singolo se viene utilizzata una suite di cifratura RC4), e questo può anche rivelare un molte informazioni, a seconda del contesto.
Se la tua azienda prende sul serio la sicurezza , potrebbe aver installato un proxy più avanzato come Blue Coat's ProxySG. Tali sistemi eseguono un attacco Man-in-the-Middle generando dinamicamente un certificato falso per il server di destinazione. Questo dà loro accesso ai dati completi, come se non ci fosse SSL.
Tieni presente che, tuttavia, tale intercettazione è possibile solo se l'azienda può aggiungere al truststore del tuo sistema desktop il certificato CA radice che il proxy utilizza per emettere i certificati falsi. Questa è un'azione piuttosto invadente. Pertanto, se potessero farlo, perché si fermerebbero qui? Potrebbero aver inserito, altrettanto facilmente, una manciata di software di spionaggio che collegherà il tuo browser Web, la tua tastiera e il tuo display; e tutto che fai sulla macchina è noto a loro.
In alternativa, se puoi assicurarti che la tua macchina sia libera da qualsiasi interferenza dal tuo azienda (ad esempio, è il tuo dispositivo e non hai installato alcun software fornito dall'azienda), quindi MitM-proxy non può decrittografare le tue connessioni SSL.
Un molto semplice un modo per nascondere il traffico alla tua azienda è non utilizzare affatto le loro strutture. Porta il tuo laptop con una chiave 3G (o legato al tuo smartphone). Pagando per la tua Internet, puoi eludere il rilevamento basato sulla rete e passare le tue giornate a vagare sul Web invece di fare il lavoro per cui sei pagato (ma, ovviamente, il rilevamento dei fannulloni non è mai stato limitato all'utilizzo solo di aggeggi computerizzati).
Se websense è configurato per registrarlo, sì, sarà in grado di vedere dove sei andato, tutti gli URL che visiti.
È meno probabile che i contenuti vengano visualizzati, dipende da come websense / proxy è impostato, ma può essere fatto. Dipende se la sessione SSL è dal tuo browser al server o se è solo al proxy (eseguendo effettivamente un attacco man in the middle)
Possono vedere tutto il tuo traffico SSL non crittografato se utilizzano un proxy BlueCoat o simile. Molte grandi aziende lo fanno.
Seguendo la risposta di Guillaume, un altro modo per verificare il gioco scorretto è utilizzare il componente aggiuntivo "Perspectives" per Firefox. Quando visiti un sito https, verifica (tramite "notai" Internet) che la chiave pubblica che ricevi (tramite il certificato del server web) appartenga effettivamente al sito che stai visitando.
Sì , la tua azienda può monitorare il tuo traffico SSL.
Altre risposte dicono che SSL è sicuro, in effetti lo è.
Ma la tua azienda proxy può intercettare e ispezionare il tuo traffico crittografato come indicato dall'immagine seguente:
Questa immagine è quando visito Google sul mio computer di lavoro.
Qui usano Forefront Threat Management Gateway 2010 che può intercettare la connessione tra me e un sito protetto.
Spiegazione:
La sicurezza SSL (Secure Socket Layer) e TLS (Transport Layer Security) si basa su PKI (Public Key Infrastruture).
La PKI consiste in una serie di certificati affidabili chiamati certificati root.
Qui nella mia azienda, uno dei certificati radice è il certificato che Forefront genera i certificati per ogni sito Web che visito.
Poiché il mio computer considera attendibile il certificato utilizzato dal proxy, non è stato visualizzato alcun avviso generato e la connessione viene eseguita in modo sicuro ma può essere ispezionata dal p server roxy.
Non solo dal certificato, ma anche dai messaggi di handshake, le informazioni sul nome del server possono essere ottenute. Poiché ho testato% 80 del traffico contiene l'estensione nome_server nel messaggio ciao del client (primo messaggio inviato dal client al server nel protocollo https). Ma questa estensione è facoltativa e talvolta non esiste. In questo caso è possibile verificare il certificato. Nel certificato esiste di nuovo il nome del server.