Tôi có an toàn trước phần mềm giám sát mạng nếu HTTPS được sử dụng không?

Tôi sẽ đăng nhập vào tài khoản ngân hàng và tài khoản email cá nhân của tôi tại nơi làm việc. Nó không bị cấm tại nơi làm việc, nhưng tôi không muốn họ lưu / ghi lại một bản sao của bất cứ điều gì tôi làm với các dịch vụ này. Đặc biệt là mật khẩu của tôi.

Nếu dịch vụ sử dụng kết nối HTTPS, công ty của tôi có thể theo dõi / lưu / ghi lại mật khẩu của tôi, mà tôi sử dụng cho các dịch vụ này không? Nội dung của các trang thì sao?

Một lần nữa, các quy tắc trong công ty của tôi không cấm sử dụng tài khoản email cá nhân hoặc dịch vụ ngân hàng internet của tôi, nhưng tôi chỉ không muốn họ biết bất kỳ thông tin quan trọng nào về những điều này. Không sao nếu họ biết rằng tôi đang sử dụng những thứ đó, nhưng họ không nên truy cập vào mật khẩu của tôi.

Tôi có thể sử dụng chúng một cách an toàn không (biết rằng công ty của tôi không thể lưu bất kỳ dữ liệu nào) nếu HTTPS được sử dụng?

Tái bút: Tôi thực sự không phải là một anh chàng mạng và tôi không biết nhiều về cách những thứ này hoạt động. Vì vậy, xin vui lòng không cung cấp bất kỳ trả lời RTFM.

Trước khi trả lời: Nếu một trình duyệt cảnh báo bạn rằng một trang web đang sử dụng mã hóa kém hoặc cung cấp thông tin nhận dạng không chính xác, điều quan trọng là phải đọc lỗi, hiểu nó và suy nghĩ kỹ xem bạn có muốn tiếp tục không.

Trả lời ngắn: Có, nếu bạn đang sử dụng thiết bị đáng tin cậy

Câu trả lời dài:

Nếu ai đó đang theo dõi kết nối của bạn từ một máy tính khác (ở đâu đó giữa bạn và ngân hàng của bạn) và bạn đang sử dụng HTTPS và họ đang sử dụng các chứng chỉ đã ký với thuật toán mạnh phù hợp, thì bạn đã rõ. (Trừ khi họ lưu dữ liệu trong nhiều năm và sau đó đọc nó sau khi thuật toán bị hỏng - nhưng họ có thể tốt hơn nên đột nhập vào nhà bạn và lấy cắp đồ của bạn;)).

Rất có thể, nếu đó là ngân hàng của bạn, thì họ đang sử dụng các chứng chỉ đã ký với mật mã mạnh phù hợp. Bạn có thể xác minh điều này bằng cách xem thông tin SSL cho trang sẽ được hiển thị nếu bạn xem thông tin trang, nhấp vào tên Xanh lam hoặc Xanh lục ở bên trái trong thanh địa chỉ với Firefox 3.5 hoặc nhấp vào khóa để bên phải trong thanh địa chỉ trong IE8. Firefox cũng sẽ hiển thị thuật toán mã hóa được sử dụng nếu bạn chọn Thêm thông tin sau khi nhấp vào vùng màu.

Nếu bạn không tin tưởng thiết bị bạn đang sử dụng để kết nối (chẳng hạn như máy tính không phải của riêng bạn mà người khác có thể đã sửa đổi), thì đó là mối quan tâm lớn hơn. Bây giờ, nơi làm việc của bạn có thể sẽ không làm bất cứ điều gì bất hợp pháp như xem thông tin ngân hàng của bạn; nhưng SSL có thể bị phá hoại nếu hệ thống của bạn bị xâm phạm. Có thể là máy tính của bạn được cấu hình để chấp nhận các chứng chỉ được ký bởi một proxy (việc kiểm tra chứng chỉ hoặc ghim chứng chỉ sẽ cản trở điều này). Tuy nhiên, giám sát có thể ở bất cứ đâu - ví dụ, một keylogger sẽ không cần phải đánh bại SSL để lấy thông tin ngân hàng của bạn. SSL làm cho nó vì vậy bạn không cần phải tin tưởng vào kết nối giữa hai điểm cuối đáng tin cậy, nhưng nếu điểm cuối không đáng tin cậy, tất cả các cược sẽ bị tắt.

Không, không cần thiết. Công ty của bạn có thể gửi kết nối của bạn thông qua một proxy hoạt động như một người trung gian. Đó là: Tất cả lưu lượng HTTPS đi từ máy của bạn đến proxy, được giải mã ở đó, được phân tích, mã hóa và gửi đến máy chủ. Máy của bạn sẽ không sử dụng chứng chỉ bảo mật từ máy chủ mà thay vào đó, proxy sẽ tạo một chứng chỉ cho trang web cụ thể và gửi nó cho bạn, vì vậy bạn thực sự có hai Kết nối HTTPS: Từ bạn đến proxy và từ proxy đến máy chủ.

Mặt khác để thực hiện điều đó, công ty cần phải có một máy chủ chứng chỉ để tạo chứng chỉ. Thông thường trình duyệt sẽ phản đối ở đây và phàn nàn rằng cơ quan cấp chứng chỉ không đáng tin cậy, nhưng tất nhiên điều đó có thể bị ghi đè thông qua các chính sách nhóm và tương tự.

Điều này không nhất thiết là chơi xấu bởi nhà tuyển dụng, vì đây có thể là một phần của khái niệm chống vi-rút hoặc vì lý do pháp lý.

Trong trình duyệt của bạn, nhìn vào chứng chỉ. Đặc biệt, nhìn vào cơ quan chứng nhận. Nếu chứng chỉ được cấp bởi một CA "thực" như Thawte, VeriSign, v.v., thì điều đó có nghĩa là bạn đang sử dụng chứng chỉ từ máy chủ và bạn nên an toàn. Tuy nhiên, nếu nó được phát hành bởi một cái gì đó như "YourCompany-AV" hoặc tương tự, thì bạn có một proxy trung gian.

Nói chung, bạn an toàn. Bởi vì khi bạn truy cập trang web của ngân hàng thông qua kết nối https, tất cả dữ liệu như tên người dùng và mật khẩu đều được mã hóa, thật khó để giải mã nó trong một thời gian rất ngắn, trừ khi họ biết rất rõ thuật toán mã hóa . Tuy nhiên, có một cuộc tấn công khác như logger, người đứng giữa sẽ làm việc nếu họ có kiến ​​thức. Luôn chú ý đến môi trường trước khi bạn nhập thông tin nhạy cảm.

Nếu bạn đang sử dụng máy thuộc sở hữu của công ty và đã đồng ý với các chính sách của công ty, có thể có các vấn đề cụ thể dành cho công ty của bạn. Không biết thêm chi tiết nào tôi muốn nói bạn nên an toàn, nhưng tôi phải cân bằng điều đó với một lời cảnh báo. Về mặt kỹ thuật là có thể, nhưng nếu bạn có một cuộc sống "bình thường", có rất nhiều điều bạn phải đối mặt hàng ngày có nguy cơ cao đối với dữ liệu cá nhân của bạn hơn so với kịch bản mà bạn đang hỏi.

Một số điều cơ bản cần nhận thức. Công ty vẫn có thể biết bạn đang truy cập trang web nào và trong bao lâu. Dữ liệu có thể được mã hóa, nhưng nó vẫn phải được định tuyến để địa chỉ mà dữ liệu đi và đến được lộ ra.

Lời khuyên trong các câu trả lời khác về việc tận dụng bất kỳ tính năng bảo mật nào của trình duyệt của bạn là tốt. Tôi sẽ nói thêm rằng bạn nên dành một chút thời gian để xem xét các chính sách của công ty liên quan đến dữ liệu cá nhân trên máy công việc.

Các ngân hàng thường sử dụng mã hóa 128 bit, hoặc cao hơn. Kiểm tra các thuộc tính của chứng chỉ SSL của họ hoặc thậm chí yêu cầu một trong những hỗ trợ kỹ thuật của họ để tìm hiểu xem đó là gì. Nếu nó dưới 128 tôi sẽ đề nghị không sử dụng nó. Nhưng nếu nó là 128 trở lên, bạn sẽ ổn thôi. Trừ khi có ai đó trên mạng với Ettercap, Wireshark, Shijack và một con chip khổng lồ trên vai họ có gì đó chống lại bạn. Tuy nhiên, nếu bạn lo lắng về điều đó, thì đơn giản là đừng sử dụng ngân hàng ròng tại nơi làm việc. Sau đó, một lần nữa, những gì để ngăn chặn ai đó bẻ khóa máy tính của bạn ở nhà để có được thông tin ngân hàng của bạn? Bạn có thể an toàn hơn trong công việc. Các nhà quản lý của tôi hầu như không thể kiểm tra lịch sử trình duyệt của tôi - Tôi muốn thấy họ bẻ khóa mã hóa SHA1-RSA được cung cấp bởi chứng chỉ SSL.

Thực tế, bạn an toàn đơn giản vì thông thường quản trị viên mạng có những việc tốt hơn để làm. Về mặt kỹ thuật, không, dữ liệu của bạn không an toàn. Bạn đã không nói bạn đã làm trong lĩnh vực nào, nhưng ví dụ như trung tâm cuộc gọi sẽ có các hệ thống được giám sát chặt chẽ. Mã hóa dữ liệu không thành vấn đề nếu tổ hợp phím đang được ghi lại và màn hình được chụp như một phần của hoạt động bình thường. Nếu bạn lo lắng rằng quản trị viên có thể có xu hướng xem thông tin tài khoản ngân hàng của bạn, thì KHÔNG sử dụng máy tính làm việc của bạn để giao dịch ngân hàng.

Các công ty thường sử dụng proxy và tường lửa để phân tích mạng, nhưng bạn có thể chắc chắn rằng lưu lượng https không thể bị đánh hơi bởi bất kỳ ai trong số họ. Đó là nguyên tắc cơ bản của https, để ngăn chặn một cuộc tấn công trung gian.

Có thể lưu các gói và phá vỡ mã hóa rsa sau này, mặc dù vì Internet dựa trên chuyển mạch gói nên không có kẻ tấn công nào có đủ chất để khôi phục các gói TCP.

Mọi thứ và mọi thứ đều có thể.