比如说登录我的银行账户或者知道我通过 HTTPs 提交了什么信息?
我不确定我们有什么代理服务器。
答案1
当然。一些企业级代理支持使用公司认证机构重新加密浏览器建立的连接。本质上,管理团队可以通过组策略将证书推送到您的工作站,并将其添加到受信任的机构列表中。然后,代理将拥有与该证书相对应的私钥,并动态为每个主机名生成证书。然后,当您的浏览器连接时,代理使用 HTTPS 连接到目的地,然后使用上述证书和私钥加密到您浏览器的实际隧道。
还有开源和免费代理能够进行这种拦截(这只是一种 MITM 攻击,管理员可以访问每个工作站上受信任的证书列表,从而轻松实现)。
编辑:您可以通过检查谁签署了每个 HTTPS 站点的证书来检测到这一点,但名称甚至可以与现有证书匹配,因此您必须将指纹与每个证书颁发机构的已知良好指纹进行比较。
答案2
通常不会(请参阅下面的编辑)。HTTPS 是端到端加密的——因此您的 PC 本身正在执行加密和解密,另一端的服务器计算机也是如此。线路上的所有内容都经过加密,因此代理服务器计算机只会看到流过的密文。
现在,IT 部门在你的电脑上安装了键盘记录器……>微笑<
不过,说真的,如果有人管理你用来访问敏感网站的计算机,他们可能会在 PC 上安装软件或硬件来监视你。我不知道你对雇主的信任程度如何,但我不会从其他人管理和/或拥有的计算机上访问银行等敏感网站。
编辑:
哎呀——我真希望我早点把我想添加的那段话打出来:一个可以自动进行中间人攻击的代理,因为我猜确实有一些可疑的产品可以做到这一点!太疯狂了。
显然有是可以对 SSL 执行自动中间人攻击的设备。它们要求在“受害者”客户端计算机上安装 CA 证书,因为根据定义,代理将为每个试图拦截通信的 HTTPS 站点制作假证书。
我坚持我上面的说法:不要从不由你管理/拥有的电脑访问敏感网站。如果遇到 Luke 在他的帖子中提到的那些邪恶的“中间人”代理服务器,你的个人电脑将不会加载代理服务器 CA 所需的证书颁发机构证书,因此你会在浏览器中收到警告,提示该网站的证书是由未知 CA 颁发的。
想到这样的产品,我就觉得心里很不舒服。在我看来,这种设备唯一的用处就是监视用户。