我有一个问题,网上没有人能够正确回答。如果我使用个人 iPhone,连接到我公司的访客 WiFi,并浏览,比如说,https://google.com/news
我的雇主是否会看到/记录:
https://google.com
(即被/news
隐藏)- 完整网址
一些答案说 HTTPS 会加密部分 URL,其他人则说完整的 URL 将被路由器日志捕获。
大多数回答我的人都说,情况 1 最有可能,即由于 HTTPS 连接,“/” 后面的 URL 详细信息不可见,因此不会记录在路由器日志中。其他人说,网络管理员可以看到和记录任何内容(在我看来,这似乎违背了 HTTPS 的一个主要观点?再说一次,这是一部个人 iPhone,没有人可以访问。
答案1
这里需要考虑的不仅仅是 HTTP......
无线上网
WiFi 本质上是一种高度开放的技术。任何在你附近有天线和无线电的人都可以收集流量。
WiFi网络本身可以加密,但很多方法来解决这个问题。如果您连接到公司网络,那么附近的其他人可能也知道密码。
捕获并存档
请记住 - 网络管理员可以看到通过其网络的所有流量,并且没有什么可以阻止他们捕获和存档这些流量。
如果在“安全的“会话,那么任何收集的数据都可能被泄露,甚至被解密。
如果计算能力足够进步,暴力破解可能是获取纯文本数据的可行选择。
一般公司不太可能记录大量的“在线”流量。
归因
根据您设备的MAC地址。
“MAC 地址随机化“最近已经提供了……然而在一些案例这不足以正确地匿名化流量。
DNS
对于标准电话设置,DNS网络运营商和邻居很容易看到您的查询。例如,您的手机询问google.com
或 的IP 地址mail.google.com
。
这是有可能的,但我认为公司不太可能记录 DNS 查询 - 除非它们的规模合理。
IP 寻址
与网络/互联网上的另一个系统通信需要使用远程系统的IP地址。
在许多情况下,这将识别您直接与之通信的网站或公司(即:Google 服务器仅托管 Google 服务)。但是,许多较小的网站使用共享托管(即:单个服务器上有多个网站),因此您浏览的网站很难被识别。
HTTP(无 SSL)
通常,实际的网络流量将使用 SSL/HTTPS 进行加密。但请记住,仍有一些网站不强制执行甚至不提供 HTTPS 支持,因此在这些情况下,所有流量都可以“看到“。
HTTPS
对于使用 HTTPS 的网站(忽略上述 DNS 信息),现在可以使用以下方式在单个服务器上托管多个域名服务器名称指示。这允许服务器使用正确的 SSL 证书响应握手,具体取决于客户端从哪个域请求信息。
在这种情况下,主机名仍然作为握手的一部分以纯文本形式发送,因此可见。
中间人
如果使用 HTTPS是使用,有仍然网络运营商解密您的流量的可能性。许多公司运行代理,在员工设备(笔记本电脑、手机等)上安装证书。
在这种情况下,您很容易受到“中间人“攻击 - 你的雇主可以解密所有流量,提供代理类型的服务(例如:内容过滤、缓存等...),然后使用“正确的“ 证书。
对于个人设备来说,这种情况不太可能发生。
这也在一定程度上缓解了DNS 认证机构授权...除非运营商也为此伪造 DNS 响应。我不知道浏览器是否会缓存 DNS CAA 响应...
VPN
如果您使用的是 VPN,并且所有配置都正确,那么很可能只有 VPN 服务器的 DNS 记录会在本地泄露(假设您没有使用直接 IP),但我上面关于捕获和存档流量的陈述仍然有效。您还需要信任您的 VPN 提供商。
但是,如果你的 VPN 设置配置不正确,那么DNS 查询仍然很容易泄漏。
总而言之,假设:
- 网络运营商(以及附近的任何人)都可以看到全部交通。
- 网络运营商肯定可以看到您正在通信的远程服务器的 IP 地址。
- 网络运营商几乎肯定可以看到您正在通信的站点的主机名(例如
google.com
:)。- 主机名将通过 DNS 泄露。
- 主机名将大概通过 SNI 也发生泄漏(SSL 握手的一部分)
- 可以推断出模式(例如
https://
:)。 - 企业设备的流量很可能在代理处解密。否则其他人不太可能轻易“看“您的解密流量。
- 任何捕获的数据在未来都可能是有价值的 - 加密实际上是一种临时措施 - 直到发现漏洞,或者计算能力足够进步以使暴力破解变得轻而易举。
答案2
假设您没有任何解决方法,要回答您的具体问题……连接到 GenericCo 的访客 wifi 后,您打开浏览器并尝试导航到https://google.com/news。
A) DNS 请求以明文形式发送,询问 DNS 服务器 IP 地址。DNS 通常不加密,因此使用 WireShark 的窥探系统管理员可以轻松看到它。此可见 DNS 请求适用于所有域和子域,因此 mail.google.com 和 google.com 被视为两个单独的请求。
B) 向该 IP 地址发送 HTTPS 连接请求。进行握手,您的计算机尝试下载该特定页面/新闻。理论上,此时您拥有安全的 HTTPS 连接,因此窥探者很难看到它。
一般来说,假设您的雇主可以看到您在其网络上所做的任何事情。毕竟这是他们的互联网连接。您可以使用 VPN 和其他方法对其进行混淆,这些方法将在其他答案中显示出来。但是,请注意,除了您的雇主之外,其他人也可能能看到它。使用 VPN 将减少附近的人能够进行的窥探量,但您必须信任 VPN 提供商。
答案3
这个问题的简单答案是,您的场景 1 是正确的。
该连接是 HTTPS,除了您和您连接的另一方之外,没有人可以看到 URL 的域名部分后面输入的内容。您的雇主只知道以下信息:
- 您的设备名称、您的 MAC 地址和 IP 地址
- 您所连接的 AP 和您的设备的大致位置。
- 如果您必须输入您的登录名才能连接 WiFi
- 您访问的网站域名以及访问时间和时长
- 所有未加密的流量的详细信息。
这假设您不允许雇主在您的设备上安装任何东西。并且,假设您的雇主实际上已经采取了必要的额外步骤来实际收集这些信息。最后,是的,这 5 项确实表明他们可能甚至不知道谁的手机在他们的网络上。
这些信息确实可以让你的雇主推断出很多关于你的手机型号、手机上安装的应用程序以及你的互联网行为的信息。
话虽如此,但这里明显的免责声明是,你不应该使用雇主的 WiFi 做违反公司政策的事情。所以,如果你担心,就不要使用公司的 WiFi。