主页 / server / 问题 / 59334
Accepted
OscarRyz
Asked: 2009-08-27 16:36:31 +0800 CST

我的企业代理可以知道 https 请求的内容吗?

  • 772

例如登录我的银行账户或知道我通过 HTTPs 提交什么信息?

我不确定我们有什么代理服务器。

security proxy privacy

2 个回答

  1. Best Answer

    绝对地。一些企业级代理支持重新加密您的浏览器使用公司证书颁发机构建立的连接。本质上,管理团队可以通过组策略将证书推送到您的工作站,并将其添加到受信任的权限列表中。然后,代理拥有与该证书对应的私钥,并动态为每个主机名生成一个证书。然后,当您的浏览器连接时,代理使用 HTTPS 连接到目标,然后使用上述证书和私钥加密到浏览器的实际隧道。

    还有能够进行这种拦截的开源和免费代理(这只是一种 MITM 攻击,管理员可以访问每个工作站上的受信任证书列表,这很容易)。

    编辑:您可以通过检查谁为每个 HTTPS 站点签署了证书来检测这一点,但名称甚至可以与现有证书匹配,因此您必须将指纹与每个证书颁发机构的已知良好指纹进行比较。

    • 12

  2. 一般不会(见下面我的编辑)。HTTPS 是端到端加密的——因此您的 PC 本身正在进行加密和解密,另一端的服务器计算机也是如此。网络上的所有内容都是加密的,因此代理服务器计算机只能看到密文流过。

    现在,使用 IT 部门在您的 PC 上安装的键盘记录器... >smile<

    不过说真的,如果其他人管理您用来访问敏感网站的机器,他们可能会在 PC 本身上安装软件或硬件来监视您。我不知道你对你的雇主有多信任,但我不会通过他人管理和/或拥有的计算机访问敏感网站,例如银行业务。

    编辑:

    哎呀——我希望我能继续输入我正在考虑添加 re: 一个代理,它会自动执行中间人攻击,因为我想那里确实有一些不正当的产品可以去做!疯狂。

    显然有些设备可以针对 SSL 执行自动中间人攻击。它们需要在“受害者”客户端计算机上安装 CA 证书,因为根据定义,代理将为它试图拦截通信的每个 HTTPS 站点铸造假证书。

    我会坚持我上面的声明:不要从您不管理/拥有的计算机访问敏感网站。对于 Luke 在他的帖子中提到的那些邪恶的“中间人”代理服务器之一,您的个人计算机不会为代理服务器的 CA 加载必要的证书颁发机构证书,因此您会在您的浏览器中收到一条警告,指出该网站有一个未知 CA 颁发的证书。

    一想到这样的产品,我的嘴巴就不好受了。我可以在这种设备中看到的唯一实用程序是监视用户。

    • 0

相关问题