Захват трафика через https в рабочей области
Я работаю на предприятии. Мне было интересно, когда я посещаю сайты, которые поддерживают https протокол, может ли кто-нибудь, кто получает доступ к сети предприятия (например, владелец сети), регистрировать трафик, который я отправляю и получаю на этих сайтах (например, password, credential identity и так далее)? Например, если я проверю свой ymail, gmail или мой messengers(такие как Telegram, WhatsApp), может ли он / она получить доступ к моему паролю, почте и сообщениям?
2 ответа
Как и в большинстве случаев, это зависит...
В корпоративной среде у вас, скорее всего, будет какое-то устройство безопасности, которое будет использовать ваше соединение. Когда ваше https-соединение проходит это устройство, вполне возможно, что устройство действует как человек посередине.
В этом случае устройство вызовет отображение (действительного) сертификата на клиентском компьютере, в то время как оно дешифрует данные из службы, выполняет их проверки, а затем повторно шифрует их для фактической конечной точки и наоборот.
Если такая конфигурация присутствует, тот, кто управляет этим устройством, может получить доступ к любым данным, которые передаются через него в незашифрованном виде. Если сертификаты устройств хранятся в хранилище сертификатов конечной точки, конечный пользователь может даже не заметить, что это происходит без дальнейшего расследования.
HTTPS (TLS) не может скрыть, к каким IP-адресам вы подключаетесь или даже доменным именам веб-серверов, к которым вы подключаетесь, по этим IP-адресам. Таким образом, любой, кто запускает анализатор в вашем сетевом соединении, может видеть, какие сайты вы посещаете, если вы не используете VPN, Tor или что-то еще.
В некоторых крайне любопытных корпоративных средах корпорация при настройке корпоративного ПК, ноутбука, планшета или смартфона для доступа к корпоративной сети устанавливает на нее сертификат, которым управляет корпорация, и заставляет устройство доверять этому корпоративному сертификату. как и любой другой сертификат корневого центра сертификации. Это позволяет корпорации выполнять своего рода "атаку" посредник "" по всему HTTPS-трафику, который эти устройства отправляют / получают через сеть корпорации, чтобы они могли видеть фактическое содержимое вашего HTTPS-трафика, а не только имена серверов. и IP-адреса.