如果使用 HTTPS,我是否可以免受网络监控软件的攻击?

如果使用 HTTPS,我是否可以免受网络监控软件的攻击?

我将在工作时登录我的银行账户和个人电子邮件账户。这在工作中没有被禁止,但我只是不想让他们保存/记录我使用这些服务所做的一切。尤其是我的密码。

如果该服务使用 HTTPS 连接,我的公司是否能够跟踪/保存/记录我用于这些服务的密码?页面内容呢?

再说一遍,我公司的规则并没有禁止我使用个人电子邮件帐户或网上银行服务,但我只是不想让他们知道有关这些服务的任何重要信息。如果他们知道我在使用这些服务,那没关系,但他们不应该知道我的密码。

如果使用 HTTPS,我可以安全地使用它们吗(知道我的公司无法保存任何数据)?

PS 我真的不是网络专家,也不太了解这些东西的工作原理。所以请不要给出任何 RTFM 回复。

答案1

回答之前:如果浏览器警告您某个网站使用了较弱的加密或提供了不正确的身份信息,请务必阅读错误信息、理解错误内容,并认真考虑是否要继续。

简短回答:是的,如果你使用的是受信任的设备

长答案:

如果有人从另一台计算机(你和银行之间的某个地方)监控你的连接,并且你使用的是 HTTPS,而他们使用的是具有足够强算法的签名证书,那么你就没有问题。(除非他们保存数据多年,然后在算法被破解后读取数据 - 但他们最好闯入你的房子并窃取你的东西 ;))。

如果是您的银行,那么他们很有可能使用的是经过签名的证书,并且使用了足够强的密码。您可以通过查看页面的 SSL 信息来验证这一点,如果您查看页面信息,使用 Firefox 3.5 单击地址栏左侧的蓝色或绿色名称,或者在 IE8 单击地址栏右侧的锁,则应该会显示该信息。如果您选择更多信息点击彩色区域后。

如果你不信任你用来连接的设备(例如一台不是你自己的、可能被别人修改过的电脑),那么就更令人担忧了。现在,你的工作场所可能不会做任何非法的事情,比如查看你的银行信息;但SSL 即将被破坏如果您的系统受到威胁。可能是您的计算机配置为接受代理签名的证书(检查证书或证书锁定会阻止此操作)。但是,监视可能无处不在 - 例如,键盘记录器甚至不需要破解 SSL 即可获取您的银行凭证。SSL 使您不需要信任两个受信任端点之间的连接,但如果端点本身不受信任,则一切都将不复存在。

答案2

不,不一定。您的公司可能会通过充当中间人的代理发送您的连接。也就是说:所有 HTTPS 流量都从您的机器传输到代理,在那里解密、分析、加密并发送到服务器。您的机器不会使用来自服务器的安全证书,而是代理会为给定的网站生成一个证书并将其发送给您,因此您实际上有两个 HTTPS 连接:从您到代理,从代理到服务器。

为了实现这一点,公司需要有证书服务器来生成证书。通常浏览器会在这里提出异议并抱怨证书颁发机构不受信任,但当然可以通过组策略等方式覆盖这一点。

但这并不一定是雇主的犯规行为,因为这可能是反病毒概念的一部分,或者出于法律原因。

在浏览器中查看证书。特别是查看证书颁发机构。如果证书是由 Thawte、VeriSign 等“真实”CA 颁发的,则意味着您使用的是来自服务器的证书,您应该是安全的。但是,如果证书是由“YourCompany-AV”之类的机构颁发的,则说明您有中间人代理。

答案3

总体来说,你是安全的。因为当你通过https连接访问银行网站时,所有数据(如用户名和密码)都是加密的,除非他们非常了解加密算法,否则很难在很短的时间内解密。但是,如果他们了解加密算法,还有其他攻击,如键盘记录器、中间人攻击,他们就会工作。在输入敏感信息之前,一定要注意环境。

答案4

实际上你是安全的,因为网络管理员通常有更重要的事情要做。从技术上讲,你的数据并不安全。你没有说你从事什么行业,但例如呼叫中心的工作系统会受到严格监控。如果记录击键并捕获屏幕作为正常操作的一部分,数据加密就无关紧要了。如果你担心管理员可能会查看你的银行账户信息,那么请不要使用你的工作电脑进行银行业务。

相关内容