https через прокси-сервер безопасен от прослушивания?

3299
squallwc

По всей видимости, все объявления Google в моем gmail (https) фильтруются. Я обеспокоен. Так значит, как-то данные проходят через прокси компании и фильтруются?

3

2 ответа на вопрос

4
sybreon

Расширяя некоторые другие ответы - при условии, что ваш прокси-сервер не выполняет атаку MITM, весь трафик через него будет зашифрован, за исключением самого первого метода CONNECT, который передается в открытом виде. Этот метод сообщает прокси имя хоста и порт для установки SSL-соединения. Все после этого зашифровано. Таким образом, прокси-сервер может блокировать подключения к «ads.google.com», например.

Если прокси-сервер не поддерживает `CONNECT` и браузер не должен использовать` GET https: // mail.google.com / `. grawity 14 лет назад 0
@ grawity, в каком случае браузер вообще не может использовать прокси? Arjan 14 лет назад 3
Прокси должен знать, к чему подключаться, и что ** должно быть передано в открытом виде. sybreon 14 лет назад 0
2
Josh
  1. Фильтр может быть программным обеспечением на вашем компьютере (при условии, что это компьютер компании).
  2. Как указывает emgee, реклама может быть не поверх SSL.
  3. Некоторые компании настраивают свои машины с помощью ключа SSL, чтобы разрешить SSL-соединениям проходить через свои прокси. Вы можете проверить это, прочитав всю цепочку сертификата SSL. (Это то, на что ссылаются как на атаку «человек посередине» в других ответах, хотя это немного расширяет определение.)
  4. Вы также можете подключиться к DNS-серверу (компании или иным образом), который блокирует разрешение домена, с которого показываются объявления.

Также имейте в виду, что у большинства компаний есть политика, позволяющая им просматривать всю вашу деятельность на машине компании. У большинства компаний также есть СПОСОБНОСТЬ сделать это, это довольно тривиально. И даже если у компании нет политики, прямо заявляющей об этом, большинство штатов дают компаниям неявное право: они заплатили за машину и платят за ваше время, поэтому то, что вы делаете, считается их мониторингом.

Я задаюсь вопросом о ключе SSL на прокси и о том, что он виден в цепочке сертификатов. Вы подразумеваете, что некоторые компании настроят браузеры для принятия самозаверяющих сертификатов, а затем прокси-серверы будут выставлены как gmail.com, а затем перенаправят их DNS gmail.com на прокси-сервер? (Обычные прокси, которые разрешают трафик HTTPS, не могут декодировать трафик. CONNECT, используемый для установки соединения, не приведет к изменениям в цепочке сертификатов.) Arjan 14 лет назад 1
Боюсь, что есть компании, которые делают именно это. sybreon 14 лет назад 1
Интересно, что закон сказал бы об этом. Компании, которые хотят сделать это, могут просто заблокировать доступ, вместо того, чтобы заглядывать в коммуникации? (Я предполагаю, что в Нидерландах работодателю не разрешат заглядывать в частную электронную почту. Более того: я думаю, что деловая электронная почта не может быть прочитана никем, кроме получателя, если только сотруднику не сообщили об этом заранее.) Arjan 14 лет назад 1
Я видел расшифровку / шифрование SSL на новом самозаверяющем сертификате. Я не могу найти никаких ссылок на текущие продукты, которые делают, поэтому большие парни, возможно, остановились. Вот проект с открытым исходным кодом, который делает это: http://webcleaner.sourceforge.net/devel/sslgateway.html А вот корпоративный продукт, который я видел в использовании, который фильтрует только DNS: http://www.barracudanetworks.com /ns/downloads/Tech_Datasheets/Barracuda_Web_Filter_TDS_US.pdf Josh 14 лет назад 0
Что касается закона: я был очень ориентирован на США. По общему признанию, извините. Однако здесь есть контраргумент и / или причина прецедентного права: в США сумма, на которую вы можете получить иск, практически не ограничена. Если сотрудник использует ваш компьютер в рабочее время, чтобы сделать что-то серьезно вредное или незаконное, у вашей компании могут быть очень большие проблемы. Таким образом, право / обязанность контролировать то, что ваши сотрудники делают на ваших компьютерах. Я был техническим директором в юридической фирме, и часто имел неудовольствие помочь HR находки, который был серфинг порно (часто в течение нескольких часов в день). Это ухаживает за домогательствами, если вы не остановите их. Josh 14 лет назад 0
@Josh: Спасибо за информацию о законе в США. По крайней мере, в Германии (я думаю, что аналогичные в других странах ЕС), законы являются более строгими для работодателей. Мониторинг разрешается только в том случае, если сотрудники уведомляются заранее, за исключением случаев, когда имеется обоснованное подозрение в совершении преступления против конкретного лица. sleske 13 лет назад 1
Вместо того, чтобы на компьютере, код блокировки, как правило, находится в браузере. Смотрите AdBlock Plus. Alba Mendez 11 лет назад 0

Похожие вопросы