所有客户端机器上都安装了 DLP(数据丢失防护)和 HIPAA 合规软件。据说它可以清晰地读取 HTTPS 数据。我一直以为在浏览器和服务器之间,这是完全加密的。软件如何在加密之前或解密之后潜入并从浏览器中获取这些数据?我只是好奇这是怎么可能的。如果这是可能的,我认为浏览器不会被认为是非常安全的。
答案1
安装在客户端上的软件可以通过修改或挂接浏览器代码来访问加密前(或解密后)的数据。存在多种将代码注入浏览器的方法,包括浏览器辅助对象(Internet Explorer)或扩展程序(其他浏览器)。
除了数据丢失防护软件外,窃取网上银行凭证的恶意软件(包括 Zeus)也使用这种“浏览器中的人”技术。一些恶意软件甚至使用内核模式 rootkit 来避免检测。
请注意,还存在嗅探 HTTPS 流量的其他方法,包括在浏览器中添加“受信任”的 CA(证书颁发机构),以便进行中间人攻击。(至少在一种情况下,已建立的 CA确实签署了(由于存在从属 CA,因此对于成功的攻击来说,无需安装证书。)
答案2
我相信可以通过代理嗅探连接,但无法看到加密数据。它可能是加密前或加密后的数据。
以下是 https 连接期间发生的情况的一个类比:
想象一下一个带金属盖的锁箱,你可以在上面放一把挂锁来保护它。想象一下,你放挂锁的环足够大,可以容纳两把挂锁。为了安全地交换东西给另一方而不共享挂锁钥匙,你会
- 把“东西”放进盒子里,并用挂锁锁住。
- 将锁好的盒子寄给对方。
- 他们也将挂锁放在环上(这样上面就有两把锁),然后将双锁的盒子还给你
- 您取下挂锁,并将现在只锁着的盒子还给他们。
- 他们取下自己的锁并打开箱子。
加密的锁和钥匙都是数学,但总体概念大概就是这样的。