Предотвращает ли HTTPS также посредника от отслеживания моей истории посещений, кроме каких доменов я посещал?

983
anuj_io

Я читал эту статью, в которой говорится, что github блокируется в России, поскольку размещенная на нем единственная спорная страница не может быть заблокирована из-за HTTPS.

Поэтому я пытаюсь определить, означает ли это, что мой локальный системный администратор не может отслеживать мою историю просмотров ....

Хотя имена доменов будут видны всем, кто находится посередине, зашифрованы ли другие части запрошенного URI, или провайдер (или тот, кто посередине) увидит, какие папки / файлы в домене, который я запрашивал (или они зашифрован)?

5
возможный дубликат [Какую информацию может видеть мой провайдер?] (http://superuser.com/questions/231991/how-much-information-can-my-isp-see) Ƭᴇcʜιᴇ007 9 лет назад 0
Мой вопрос немного другой, я хочу знать, зашифрован ли URI также через HTTPS или только обмен контентом, требуемый через URI. anuj_io 9 лет назад 0
Россия просто выбирает легкий способ заблокировать контент, который они хотят запретить. Если бы они попытались заблокировать по одному URL-адресу, рассматриваемый проект мог бы просто изменить перенаправление домена на веб-сайт github и / или изменить имя своего проекта, и, таким образом, URL-адрес был бы другим. Ramhound 9 лет назад 1
Я не вижу причины, по которой часть URL-адресов URI не может быть зашифрована. Если запросы GET могут быть зашифрованы, то прямое попадание по ссылке (что само по себе является запросом GET) зашифровывает часть URI? anuj_io 9 лет назад 0
Большой ! Просто опустите вопрос, если не можете обосновать свои ответы. anuj_io 9 лет назад 0
@tea_totaler - голосование анонимное. Вы не можете знать, кто отклонил ваш вопрос. Так что комментировать о понижении голосов немного глупо. Ramhound 9 лет назад 1
@ ^ Я никому не указывал, единственное, что я хочу сказать, это то, что тот, кто проголосовал против, должен был это оправдать. anuj_io 9 лет назад 0
Они не должны, это анонимно по причине (это был не я, кстати). Ƭᴇcʜιᴇ007 9 лет назад 0
Я согласен, что они не должны, но это не значит, что они не должны. anuj_io 9 лет назад 0
Я попытался немного прояснить ваш вопрос для будущих посетителей, если он вам не нравится, не стесняйтесь откатить его назад. :) Ƭᴇcʜιᴇ007 9 лет назад 0
Здорово ! Спасибо за редактирование. anuj_io 9 лет назад 0
Обратите внимание, что в отсутствие атаки подмены сертификата (MITM) администратор может наблюдать за всеми полями уровня 3 в ваших пакетах и ​​определять, к какому серверу вы обращаетесь. Однако они не могут видеть остальную часть URL, поэтому они могут сказать, с каким сервером вы связались, но не то, что вы там сделали. HTTP / HTTPS - это протокол уровня 4, поэтому без замены сертификата они не могут видеть все. при этом они управляют оборудованием между вами и сервером, поэтому можно либо заменить сертификат вашего хоста, либо прозрачно заменить сертификат во время создания канала. Frank Thomas 9 лет назад 1
Я полностью понимаю случай отслеживания сервера, однако мне не удалось его правильно установить, если посредник может отследить часть URI моего HTTP-запроса. anuj_io 9 лет назад 0

2 ответа на вопрос

6
davidgo

Your local sys-admin can track your browsing history if they can get you to install a certificate on your (or their machine) - in which case they can man-in-the-middle your connection.

If you have your own device and are sure they don't have a certificate, the best they can do is get a feel for what sites you are going to by looking at the IP address of the sites and the traffic profile (ie lots of traffic could imply downloading of videos), and IP addresses of big sites normally have reverse lookup. They can also use DNS records to find the DNS you requested if you are using their DNS servers which is likely.

If the sysadmin does not have access to your machine to install the cert or local software, they can't use the network to see what page(ie folder) you are going to in the site as this is encrypted (This information is sent in the header of your request, which happens after SSL is negotiated).

Source: I am a system administrator who handles sites with HTTPS and from time-to-time manually do HTTP / HTTPS requests to check corner cases.

Я понял вашу точку зрения и спасибо за ответ. Просто быстрое пояснение, это означает, что даже мой провайдер не сможет увидеть URI, верно? anuj_io 9 лет назад 0
Есть атаки уровня провайдера на HTTP. Было обнаружено, что несколько интернет-провайдеров используют устройства, которые обнаруживают HTTPS-соединение. Затем они прозрачно проксируют соединение, заменив ваш сертификат своим собственным, чтобы отправить его на сервер, и подделать рукопожатие обратно в вашу систему, чтобы туннель был открыт, когда он проходит через их устройство. сайт думает, что он вам нужен, но на самом деле это рукопожатие с провайдером, и вы думаете, что вы общаетесь с сервером, а на самом деле это провайдер, с которым вы соединяетесь. https://www.schneier.com/blog/archives/2013/09/new_nsa_leak_sh.html Frank Thomas 9 лет назад 0
подробнее здесь: http://www.sonicwall.com/downloads/SonicOS_Enhanced_5.6_DPI-SSL_Feature_Module.pdf Frank Thomas 9 лет назад 0
Правильно - при условии, что вы не игнорируете предупреждения сертификатов, ваш интернет-провайдер не может видеть трафик. @FrankThomas ответ правильный, но не учитывает, что если ваш провайдер перехватывает трафик таким образом, вы получите такое же предупреждение о сертификате, если ему не удалось получить свой сертификат в вашем браузере. Считается, что АНБ может сделать это скомпрометировав CA, но ваш провайдер, вероятно, не может этого сделать. davidgo 9 лет назад 4
Также в принципе размер зашифрованных данных может привести к утечке некоторой информации о том, какие URL вы посещаете. Упрощенный пример: предположим, что провайдер знает, что на сайте, который вы посещаете, есть 1000 маленьких страниц и один большой загружаемый файл, содержащий нелегальную / подрывную / диссидентскую информацию. Предположим, вы попали на сайт для 10M данных в 2 с. Тогда вы * вероятно * только что загрузили большой файл. Конечно, у github очень много файлов, даже если Россия технически оснащена для использования этой методики (а) он может не получить четкого сигнала, (б) к тому времени, когда он идентифицирует файл, который уже был загружен. Steve Jessop 9 лет назад 0
... Я не знаю, насколько распространены практические атаки, использующие эту технику для трафика HTTPS. Я смутно припоминаю, что он использовался против зашифрованного потокового аудио VBR, по крайней мере, в лаборатории. Оказывается, что некоторые фонемы сжимаются лучше, чем другие, поэтому в лучшем случае (для злоумышленника) битрейт не слишком далеко от прямого шифра замещения произносимого текста! Steve Jessop 9 лет назад 0
@davidgo В любом случае АНБ уже имеет корневые сертификаты, установленные на большинстве компьютеров, им не нужно подвергать риску другой ЦС. Thebluefish 9 лет назад 0
@Thebluefish Можете ли вы посоветовать свои доказательства этого? Я принимаю, что они почти наверняка скомпрометировали CA (возможно, даже до такой степени, что они могут требовать, чтобы они генерировали ключи, а не говорить об этом), но я не видел доказательств того, что АНБ фактически владеет CA. davidgo 9 лет назад 0
2
Arthur

So my does it imply that even my local sys-admin can't keep track of my browsing history too?

No, not necessarily. A sysadmin can perform a man in the middle attack if they put a custom certificate on the client computer.

If you click on the lock icon in the address bar of a secure site at home, it will say who the certificate issuer is and what the private key is. If you perform the same action at work and it says the same information - you are probably safe. If it does not, that's a huge red flag that someone may be intercepting your traffic.

As you said, they do know what websites you are visiting because of DNS - just not what is being transferred.

EDIT: To clarify, because of dns they know what SERVERS you are visiting, but not the entire URI.

Я так хочу вам верить, но есть ли у них какая-либо онлайн цитата, которая подтверждает то же самое? anuj_io 9 лет назад 0
Извините, нет. Я делал это раньше для чисто экспериментальных целей, так что я знаю, что это возможно, лучшая статья была бы википедией в середине атаки. Arthur 9 лет назад 0
Я читал это так много раз, но нигде не говорится о URI. :( anuj_io 9 лет назад 0
Возьмите wireshark, запустите запись и наблюдайте за процессом между стандартным соединением http: // против https: //. Я знаю, что это не очень полезный ответ, но интересно смотреть, и, по крайней мере, таким образом вы можете подтвердить то, что я говорю, своими глазами - плюс, Wireshark - полезный инструмент. Arthur 9 лет назад 4
Привет5 человек! Это то, о чем я говорю. Я обязательно попробую Wireshark. anuj_io 9 лет назад 0

Похожие вопросы