在工作中,我的公司使用Internet监视软件(Websense)。我知道如果我访问https ssl加密的网站(例如https://secure.example.com),则由于所有流量都已加密,因此他们看不到我在该网站上正在做什么。但是他们看到我访问了https://secure.example.com吗?

#1 楼

在执行任何HTTP请求(例如GETPOSTHEAD等)之前,首先要建立加密连接,但是主机名和端口是可见的。

还有很多其他方法可以检测到您正在访问的站点,例如:


您的DNS查询(即,他们会看到IP通过网络监控(例如,netflow,IP到IP会话,嗅探等)进行

如果您使用的设备是公司所有的并且具有管理员访问权限, /特权查看设备上的任何内容(例如查看浏览器缓存)

逃避Websense代理的一种流行方法是首先通过HTTPS建立与外部代理的连接(例如https:// proxy .org /),然后从那里提出您的请求。

评论


严格来说,加密连接是通过发送CONNECT http请求创建的,但这不是“常规” HTTP请求...

–AVID♦
2011年4月17日下午6:34

简短的简短版本:是的,他们可能会告诉您您去过哪里。不想让他们知道您的某些嗜好,不要在公司时间浏览。

– Shadur
2014年5月19日7:00

实际上,它可以被拦截,并且对于公司外部的人员仍然是安全的。这取决于它们使用哪个代理。您可以检查是否由谁为您访问的站点颁发了证书。

– sergiogarciadev
2014年6月4日21:32

另一个选择是获得便宜的VPS并通过ssh隧道设置袜子代理

–咖啡因成瘾
16年6月24日在19:40

请务必注意,TLS和SSL泄漏有关您正在访问的特定页面的信息。例如,SNI字段包括您正在访问的站点的名称(因此,无需查看DNS流量)。此外,很容易看到请求和响应的大小,并且很容易构建页面指纹,并将其与您的流量模式进行匹配。本文详细介绍了rabexc.org/posts/guessing-tls-pages方法。 Tl; Dr;您应该假设,尽管攻击者无法解密这些页面,但他们可以猜测您访问了哪个页面。无需MITM。

–rabexc
17年7月11日在15:31

#2 楼

可能,但是需要进行一些设置。这是完成操作的方法,以及如何告诉您的方法。将存储在诸如Verising或Entrust等受信任证书的旁边。

您公司的代理将持有该证书的私钥。

当您访问HTTPS网站时,例如https://mybank.com/,该代理会将自己置于中间。它将与您的浏览器建立HTTPS连接,并为mybank.com动态生成证书。它将重新播放(并可能监视或记录)您在新连接上从代理到mybank.com的所有流量。

您可以通过查看挂锁图标来判断是否是这种情况。如果您看到mybank.com的证书是由acmesprockets.com(公司的名称)颁发的,则您知道他们可以看到您的“加密”流量。但是,由于您的公司可以强迫您的计算机信任任何证书,因此它们可以使用众所周知的名称创建证书,例如“ Entrust.net安全服务器证书颁发机构”(即使根据某些商标法可能是非法的)。 />
那你怎么知道呢?连接到网站后,查看证书。每种浏览器的详细信息各不相同,但是通常单击https旁边的挂锁图标即可。从该证书中找到证书指纹并在线查找。更好的是,对证书颁发机构执行相同的操作。如果您找不到在线验证证书(但是您可以在家中或在电话上都可以找到),则HTTPS流量可能会在此过程中被解密。

评论


无需特殊设置,任何代理都可以查看主机名。

–亨德里克·布鲁默曼
2011年4月6日在6:28

为什么选择acmesprockets.com?为什么不称自己为VeriSign? ;)

–卡尔马留斯
2012年7月27日14:08

确实是的 !您将不得不比较指纹,这种情况极不可能发生。

–ixe013
2012年7月30日在11:53

您可以使用此服务grc.com/fingerprints.htm来比较公司内部收到的指纹和站点的公共指纹。

–马塞尔
14年6月6日在8:03

#3 楼

简单代理服务器

即使简单代理也将看到并记录服务器的名称。例如,访问https://example.com/some/address.html会从浏览器向代理服务器创建这样的请求:

CONNECT example.org:443 HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:2.0b13pre) ...
Proxy-Connection: keep-alive
Host: example.org


其余的连接已加密,一个简单的代理服务器就转发了该请求。能够以纯文本格式查看完整的流量。但是,这些类型的代理服务器要求您安装根证书,以便它们可以即时创建服务器证书。

在浏览器中查看证书链通常可以发现这种情况。中间攻击。至少在通常由您自己的公司而不是由国家机构完成的情况下:



#4 楼

使用HTTPS,首先建立SSL / TLS隧道,并且HTTP流量仅在该隧道内发生。某些信息仍然泄漏:


如果客户端使用代理,则与代理的连接看起来像:CONNECT www.example.com:443,带有目标服务器名称。另外,客户端可以发送目标服务器的IP地址,但这仅会稍微减少一些透露性。而且,要知道服务器的IP地址,客户端必须使用公司本身提供的DNS服务器进行一些名称解析。
最近有足够的客户端将发送目标服务器名称作为初始SSL握手的一部分(服务器名称指示扩展名)。
服务器通过将其证书发回作为响应,该证书在普通视图中和根据定义包括服务器名称。名称绝对不是秘密。您可能会认为您的公司是学习的。但是,仍然可以通过任何窃听者推断出客户端发送和接收的数据包的长度(如果使用RC4密码套件,则具有单字节精度),并且根据上下文,这也可以揭示很多信息。

如果您的公司非常重视安全性,那么它可能已安装了Blue Coat的ProxySG之类的更高级的代理。这样的系统通过动态生成目标服务器的伪证书来执行中间人攻击。这使他们可以访问完整的数据,就像没有SSL一样。

但是请注意,仅当公司可以将代理用来颁发假证书的根CA证书添加到桌面系统的信任存储中时,这种拦截才可能。这是一项颇具侵略性的行动。因此,如果他们能够做到这一点,为什么他们会停在那里?他们可能同样容易地插入了一些间谍软件,这些软件将插入您的Web浏览器,键盘和显示器。

或者,如果您可以确保您的机器不受公司的任何干扰(例如,这是您自己的设备,并且您没有安装公司, -上提供的软件),则MitM-proxy无法解密您的SSL连接。带3G钥匙(或拴在智能手机上)自带笔记本电脑。通过购买自己的Internet,您可以逃避基于网络的检测,而将精力花在漫游Web上,而不用花钱去做(但是,当然,对懒散者的检测从未局限于仅使用计算机化的Gizmos) 。

评论


如有疑问,请使用智能手机旁路。自由往往有值得付出的代价。

–惨败实验室
13年4月25日在6:05

Thomas Pornin的另一个好答案!现在应该是公认的答案。

– Rahil Arora
2014年2月7日在16:08



“如果您的公司认真对待安全性”,我将不同意这一前提。可能会更准确地指出“如果您的公司在侵犯隐私方面更加坚持”……因为老实说:很多时候,使用Blue Coat之类的工具与提高安全性无关。

–丹·埃斯帕萨(Dan Esparza)
15年11月24日在18:39

#5 楼

如果将websense配置为记录日志,那么可以,他们将能够查看您去过的地方,访问的所有URL。

不太可能查看内容-这取决于websense /代理已设置-但可以完成。这取决于SSL会话是从浏览器到服务器还是从代理到SSL会话(有效地在中间攻击中运行一个人)

评论


我不知道我的公司如何进行websense设置,但我怀疑如果我使用SSL加密的gmail,他们可以读取发送的流量的内容,对吗?

–IAmARegisteredUser
2011-4-5 21:15



@IAmARegisteredUser-正如Rory在他的回答中所说,这取决于其设置方式。可能性不大,但确实有可能。

– Xander
2011年4月5日在22:31

如果将websense设置为对您进行中间人攻击,那么在连接到该网站时您不会看到证书错误吗?如果您没有看到证书错误,对我来说websense无法看到您查看的URL或内容似乎是合理的。那不准确吗?

– D.W.
2011年4月6日,下午1:33

@ D.W。这取决于某些公司的Web代理设置(例如,如下@atdre所述,Bluecoat)涉及在用户浏览器中安装CA证书,然后该代理根据需要创建新证书,以便可以对启用SSL的连接进行内容检查。

–罗里·麦库恩(Rory McCune)
2011年4月6日在6:52



#6 楼

如果他们使用BlueCoat代理或类似的代理,他们可以看到所有未加密的SSL通信。许多大型企业都这样做。

评论


...,如果他们已经将自己的CA预装到您的浏览器中,那么这将使其在企业控制IT的企业环境中可行。 (否则,用户将在左,右和中心看到SSL错误,这强烈表明正在发生MITM攻击)

– Piskvor离开了建筑物
2011年5月22日22:17



#7 楼

按照Guillaume的回答,另一种检查犯规行为的方法是使用“ Perspectives” Firefox插件。当访问https网站时,它会(通过Internet“公证人”)检查(通过Web服务器证书)收到的公钥确实属于您正在访问的网站。

评论


当然,这使您可能会被另一方跟踪您对安全站点的访问,即使Perspectives承诺不这样做,甚至记录您的IP地址。

–nealmcb
2011年4月15日15:56

#8 楼

是的,您的公司可以监视您的SSL流量。

其他答复说SSL是安全的,的确如此。如下图所示:



此图是我在工作计算机中访问Google时的图。威胁管理网关2010,可以拦截我和安全站点之间的连接。

说明:基于PKI(公钥基础结构)。

PKI由一系列称为根证书的受信任证书组成。

在我公司,根证书之一是证书,Forefront为我访问的每个网站生成证书。由代理服务器设置。

#9 楼

不仅可以从证书中获取,还可以从握手消息中获取服务器名信息。
当我测试%80的流量中,客户端问候消息中包含server_name扩展名(客户端通过https协议向服务器发送的第一条消息)。但是此扩展名是可选的,有时它不存在。在这种情况下可以检查证书。证书中再次存在服务器名称。