公司是否能夠亦或是否有權截獲員工在公司電腦使用https訪問網站的內容?如何實現?
如果我在上班時操作網銀,並且使用https連接,公司it人員是否可以取得我的帳號信息等資料?我知道公司使用代理伺服器,瀏覽器里填了個pac文件,所有論壇,購物網站都上不了,但網銀還是可以的。是不是我瀏覽器發出的內容先會傳到代理伺服器,然後才加密傳到目標伺服器?
回答這個問題之前,先來想一想為何大多數公司部署代理伺服器?
用戶的網路請求,通常會流經代理伺服器,代理伺服器使用自己的IP與目的伺服器建立連接,然後用戶就可以和伺服器端到端通信了,用戶肯定會問:幹嘛要脫褲子放屁,用戶為何不能直接訪問伺服器?
首要原因:過濾審核
由於公司員工對外的流量都會流經代理伺服器,可以對每一個IP包做深度體檢,通常三、四、七層都會過濾,不僅僅是協議頭,還有協議內容。一旦有違反公司安全政策的訪問,通常會被阻礙訪問,再生成一個log信息及對應的員工信息,保存在日誌資料庫里,秋後算賬。
有同學會說,公司防火牆不是也可以做包深度檢測的嗎?通常防火牆三四層支持比較好,但七層支持不是很好,而代理伺服器更擅長干全棧的檢查。
代理伺服器可以解密用戶https流量嗎?
可以,一點問題沒有。
代理伺服器一般有兩種模式:
透明模式(Transparent)
客戶端與伺服器建立端到端的https連接,代理伺服器只識別四層及四層以下信息。
關於透明代理詳解闡述,請參考:https://www.zhihu.com/lives/917034736428404736
中間人模式(Intercept )
客戶端與代理伺服器建立https連接,代理伺服器與伺服器建立另外一個https連接,然後做為中間人可以看到用戶明文數據。
但需要在用戶電腦里事先安裝代理伺服器的公鑰證書,既然是公司電腦,並且代理伺服器首要任務是安全審核,所以解密https連接是一個必要的任務。
對於網銀,不必慌張,公司的IT懂得竊取用戶的網銀信息是違法的。另外,即使https被破解了,網銀密碼也是做了加密處理,不會以明文方式出現,所以IT也拿不到網銀密碼。
歡迎周六上午十點前來參加Live:「網路高級診斷研究」https://www.zhihu.com/lives/917034736428404736
如果他夠惡意,你不小心,可以。
https是基於證書和密鑰對的。
理論上,足夠量級的加密無法被破解。
但是,那是指直接破解。
公司可以部署整個網路,他可以控制所有資源。包括:DHCP,DNS,PROXY,以及自有證書系統,還有你的PC。
首先,在內網統一部署自有的根證書R,強制信任。(你不信任可能都沒法工作)
當你訪問某個網站A時,惡意的管理人可以用自己的證書B替換掉來自A的證書。當然這個B是被R簽名認證過的,你不打開看是不知道的。
然後你就用B證書傻呵呵上網站A了,然後公司PROXY伺服器攔截你所有的請求,使用對應B"來解密得到原始報文,然後重新用A證書打包,發給A。反過來的通訊也一樣。
搞定。當然這中間耗費的資源很多。
安全是一個體系,不是一個單點。
反過來攻擊也是可以成體系的。
切記這一點。
怎麼破這種攻擊?
用雙通道驗證。這就是為啥你的銀行一定要你親自去櫃檯拿個U盾,並最好就在銀行內部下載好證書的原因。
不會,HTTPS是從客戶端直接到伺服器加密的,PAC文件只是指定了你的代理伺服器,貌似你們公司在代理伺服器上使用了ACL訪問控制列表。
當然,網關是可以進行HTTPS的證書劫持的,不過此時客戶端應該會跳出警告,如果你能看到警告,那就說明你們的HTTPS訪問已經不安全了。
至於說公司在你們電腦上動了手腳,那可能性就多了,且不說如果公司有windows域如何,就算沒有,網關劫持個把下載的exe文件掛個木馬進去給你裝一個全家桶也是輕輕鬆鬆的事情。
題主問有沒有權利,其實是有的,如果電腦是公司付錢而且明確是僅用來工作的,那公司有權檢查電腦里的任何東西,因為就不應該存在個人隱私,除非你違規使用辦公電腦辦私事了。可以啊。
除了在你電腦上安 ca 證書之外,公司還可以去找證書機構媾和,這都不是新聞了。
國外的 diginotar、賽門鐵克,國內的沃通/STARCOM,都說明了證書機構不是百分百可信的。以中間人方式介入https需要預先在上網者電腦上安裝根證書,據我所知大多數情況是沒有的,否則只要有一個人沒裝或者卸了就會出現上什麼網都報警的情況,不就發現了嗎,而且公司電腦能預裝,手機怎麼辦。
如果真的保密性很強的單位,直接不讓上網就行了。
我不知道貴公司有沒有這麼做,但是他是 可以 的。
通過中間人攻擊,可以將加密數據解密,但是客戶端(例如瀏覽器)會有告警,上網用戶是可以察覺的。
這個中間人攻擊可以被客戶端察覺的「問題」,其實是有一個解決方案的。配置微軟的域策略,就可以自動將中間人的CA證書安裝到客戶端電腦中,這樣中間人攻擊就不易被察覺。(這種方案對火狐無效,因為火狐採用自己的證書驗證機制,而非操作系統提供的)
另外,不得不說的一個問題是,在移動設備上,由於種種原因,某些app(包括一些被認為應該很安全的app)並不對證書不可信出示告警。換句話說,這些app根本就沒打算防範中間人攻擊,再換句話說,你被中間人攻擊了,是不可能察覺到的。
希望有幫助。
另外,我覺得,在網路的世界裡,你必須信任一些人,才有能力不信任(防範)另外一些人。
一般來說公司要截獲的話,會在你電腦上信任他的根證書頒發機構的,然後隨便中間人攻擊。
也就是說只要公司想就可以。查看你自己電腦是否裝有公司私自簽名的證書,如果有,就能,如果沒有就不能。
用google瀏覽器,如果公司截獲了https流量的話,瀏覽器會自動禁止你瀏覽該網站,並告知該網站不安全。所以公司在截獲你的信息時,你會明顯的被提醒。
有權
中華人民共和國公安部令 第82號
《互聯網安全保護技術措施規定》已經2005年11月23日公安部部長辦公會議通過,現予發布,自2006年3月1日起施行。
公安部部長:郭聲琨 ( 這一點很有意思,不詳談,對應上述時間和相關人員履歷自己琢磨 )
(三)記錄並留存用戶登錄和退出時間、主叫號碼、賬號、互聯網地址或域名、系統維護日誌的技術措施;
(四)法律、法規和規章規定應當落實的其他安全保護技術措施。
第八條 提供互聯網接入服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)記錄並留存用戶註冊信息;
(二)使用內部網路地址與互聯網網路地址轉換方式為用戶提供接入服務的,能夠記錄並留存用戶使用的互聯網網路地址和內部網路地址對應關係;
(三)記錄、跟蹤網路運行狀態,監測、記錄網路安全事件等安全審計功能。
第九條 提供互聯網信息服務的單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)在公共信息服務中發現、停止傳輸違法信息,並保留相關記錄;
(二)提供新聞、出版以及電子公告等服務的,能夠記錄並留存發布的信息內容及發布時間;
(三)開辦門戶網站、新聞網站、電子商務網站的,能夠防範網站、網頁被篡改,被篡改後能夠自動恢復;
(四)開辦電子公告服務的,具有用戶註冊信息和發布信息審計功能;
(五)開辦電子郵件和網上簡訊息服務的,能夠防範、清除以群發方式發送偽造、隱匿信息發送者真實標記的電子郵件或者簡訊息。
第十條 提供互聯網數據中心服務的單位和聯網使用單位除落實本規定第七條規定的互聯網安全保護技術措施外,還應當落實具有以下功能的安全保護技術措施:
(一)記錄並留存用戶註冊信息;
(二)在公共信息服務中發現、停止傳輸違法信息,並保留相關記錄;
(三)聯網使用單位使用內部網路地址與互聯網網路地址轉換方式向用戶提供接入服務的,能夠記錄並留存用戶使用的互聯網網路地址和內部網路地址對應關係。
第十一條 提供互聯網上網服務的單位,除落實本規定第七條規定的互聯網安全保護技術措施外,還應當安裝並運行互聯網公共上網服務場所安全管理系統。
第十二條 互聯網服務提供者依照本規定採取的互聯網安全保護技術措施應當具有符合公共安全行業技術標準的聯網介面。
第十三條 互聯網服務提供者和聯網使用單位依照本規定落實的記錄留存技術措施,應當具有至少保存六十天記錄備份的功能。
用起洋蔥瀏覽器,說不定論壇都能上
https本身不能。所有回答能的,其實都是在https以外的環節進行的hack,比如在你的電腦安裝非法的證書,這和安裝個攝像頭監視你敲密碼沒有本質區別,但這和https本身的安全性無關。
不知道為什麼樓上幾位都說很難,你們似乎都在說https的安全性,那麼先反對一下,具體哪年不記得了,就最近幾年https在谷歌大會已經被破解了
其次關於內網的監控,個人理解,內網裡不存在任何安全性,比如
1.用嗅探器類的協議解析程序,基本上可以過濾出絕大多數你想要的包了,破解多數只是時間問題
2.如果公司惡意套取員工某一項或者幾項信息(如網銀密碼),低端的arp手段就不用說了吧,或者直接做個假網關,假dns然後你還有什麼信息不透明呢
3.所謂社工手段,都是一個公司,不是很多東西都很方便么
還有很多方法不一一描述,鑒於樓主得提問是能不能被獲取到,我認為完全可以
服務端搞事的話是可以的。。。所以這問題得問網管。我自己在公司搞的倒是不記錄數據只記錄連接了什麼域名
解決方法很簡單,再串一個自己信任的代理就好了。蹭無密碼wifi的時候敏感操作我都會掛上自己架的ss的
直接ssh到遠程伺服器1搭一個本地代理
所有流量加密,公司攔不住的
公司可以解密你的https流量,為了確認這個,你可以注意如下事項,一,你訪問https網站的時候,瀏覽器會不會報不信任證書,地址欄顯示紅色警告,非綠色小鎖。二,即使是綠色,查看一下當前網站的證書信息,是不是你所訪問的網站的信息。如果不是,那麼你的https流量已經被解密了,並且公司已經做了記錄。鑒於你很多網站都不能訪問,可以訪問https的網站,我猜測是你們公司僅僅做了簡單的代理。
誰沒事去關注你的流量。。。。
能不能,我就不說了,大家都在從技術角度來說這個事情,我就說有沒有權這麼做。
公司發給你的電腦,叫做辦公設備——什麼叫辦公設備?就是用於開展公司業務的,產權和使用權均屬於公司的設備,請注意,使用權也是公司的。所以,公司有權利對這台設備進行任何類型的處置,不管是買賣還是銷毀,更不要說監控其上發生的各種行為了。所以,公司是有權利進行監控的。
不僅是電腦,公司配發的手機、車輛乃至是一支筆一張紙,都是同樣的概念。
所以用公司配發的手機打私人電話,被監控也是沒什麼可叫板的地方。
所以,當公司發給你設備的時候,一定要問清楚,這是辦公設備,還是員工福利?前者,就絕對不要沾任何私人信息、事務在上面,後者,東西就是給你的,那就無所謂了。大公司都會搞個行為審計的設備,控制你上網行為……國家法律賦予公司這樣權利
用chrome不會。
Chrome的根證書就那幾個,你們公司即使在每台電腦的windows里都添加自己的根證書也沒用。實在不放心,打開網頁後看一眼證書。
樓上說的什麼u盾沒有用。你輸十七八個密碼,最後信息還是通過https傳輸。
推薦閱讀:
※SSL根證書里的公鑰為什麼是密文?
※有哪些方法查到網站真實ip?(網站用了CDN)?
※域名的SSL證書泄漏對網站的安全性影響大嗎?
※https以及cookie的問題?
※登錄知乎時,賬號密碼是明文傳送的,安全嗎?