Мой прокси предприятия мог знать содержание запроса HTTPS?
В моей компании у нас были все серверы в единственном TZ до этого года. У нас теперь есть серверы в 3 новых часовых поясах. Весь сервер выполняется с нашим локальным часовым поясом. Это довольно полезно для анализа журнала, тем более, что мы распределили веб-сайты, натыкающиеся на эти 3 часовых пояса.
Однако в одном особом случае, мы оставили сервер с нашим клиентом TZ. Приложение, как предполагается, произошло большую часть дня, и задачами обслуживания обычно является установка для выполнения в течение "ночи". Сначала, мы устанавливаем сервер в нашем TZ, но задачи обслуживания замедлялись, наполняют слишком много для нашего возлюбленного, "мы работаем, когда Вы спите" клиенты...
UTC является также очень хорошей опцией. Если люди всегда не обращаются к локальному часовому поясу при рассмотрении журналов (который имеет место в здесь).
Абсолютно. Несколько поддержки прокси уровня предприятия, повторно шифрующей соединения Ваш браузер, делают использование корпоративного центра сертификации. По существу административная группа может выставить сертификат Вашей рабочей станции через групповые политики и добавить его к списку доверяемых полномочий. Прокси затем имеет закрытый ключ, соответствующий тому сертификату, и генерирует сертификат для каждого имени хоста на лету. Затем, когда Ваш браузер соединяется, прокси использует HTTPS для соединения с местом назначения, но затем шифрует фактический туннель к браузеру с помощью вышеупомянутого сертификата и закрытого ключа.
Существуют также и свободные прокси с открытым исходным кодом, способные к этому перехвату (который является просто нападением MITM, сделанным легким администраторами, имеющими доступ к доверяемому списку сертификата на каждой рабочей станции).
Править: Можно обнаружить это путем осмотра, кто подписал сертификат для каждого сайта HTTPS, но имя может даже соответствовать существующим сертификатам, таким образом, необходимо было бы сравнить цифровой отпечаток с известным хорошим каждого центра сертификации.
-
1+1 для точности. Это возможно. Компоновщик сети Cymphonix делает это. cymphonix.com – Josh Brower 27 August 2009 в 03:53
-
2That' s не прокси - that' s просто зло. – Evan Anderson 27 August 2009 в 03:54
-
3Во многих случаях необходимо сделать это в целях соответствия. Я успешно боролся против практики с нашими специалистами по безопасности и только победил, потому что их аргумент был основан на вредоносной защите. – duffbeer703 27 August 2009 в 04:18
-
4+1 для точности также, хотя я все еще поддерживаю Evan... – squillman 27 August 2009 в 04:32
-
5Поскольку SSL является большой зияющей дырой через круговую оборону, образование мост и осматривание фактического трафика через него являются определенно вопросом безопасности, по моему скромному мнению, ^^ Осмотр исходящего SSL (содержание, которому Вы служите) с этим подходом, был бы более общий падеж все же. – Oskar Duveborn 27 August 2009 в 09:11
Обычно не (см. мое редактирование ниже). HTTPS шифруется от начала до конца - таким образом, Ваш ПК сам делает шифрование и дешифрование, как сервер на другом конце. Все это находится на проводе, шифруется, таким образом, компьютер прокси-сервера просто видит, что шифрованный текст течет.
Теперь, с тем клавиатурным перехватчиком, который отдел ИТ установил на Вашем ПК...> улыбка <
Серьезно, тем не менее, если кто-то еще администрирует машину, Вы используете для доступа к чувствительным веб-сайтам, им можно было бы установить программное обеспечение или аппаратные средства на самом ПК для контроля Вас. Я не знаю, насколько Вы доверяете своему работодателю, но я не получаю доступ к чувствительным веб-сайтам как банковское дело от компьютеров, которые администрируемы и/или принадлежат другим.
Править:
Ну и дела - мне жаль, что я не шел вперед и ввел тот абзац, что я думал о добавляющем ре: прокси, который делает автоматизированную атаку "человек посередине", потому что я предполагаю там действительно, является теневыми продуктами там, которые могут сделать это! Сумасшествие.
По-видимому, существуют устройства, которые могут выполнить автоматизированные атаки "человек посередине" против SSL. Они требуют, чтобы сертификат CA был установлен на клиентском компьютере "жертвы", так как прокси будет, по определению, чеканить поддельные сертификаты для каждого сайта HTTPS, к которому он пытается прервать коммуникацию.
Я поддержу свой оператор выше: не получайте доступ к чувствительным веб-сайтам от comptuers, который Вы не администрируете / собственный. В случае одного из тех злые "man-in-the-middle" прокси-серверы, что у Luke, упомянутого в его сообщении, Ваш персональный компьютер, не было бы необходимого сертификата центра сертификации загруженным для CA прокси-сервера и таким образом Вы получите предупреждение в своем браузере, что веб-сайту выпустили сертификат от неизвестного Приблизительно.
Мысль о таком продукте дает мне дурной тон в моем рту. Единственная утилита I видит в таком устройстве, шпионит за пользователями.
-
1И добавить к Evan' s точка, потому что прокси can' t читают его он поэтому can' t регистрируют его также. Don' t понимают меня превратно, you' ll получают записи в журнале, но Вы только доберетесь, чему-то нравится, СОЕДИНЯЮТ remotesite.com 443. Вы won' t даже получают полную информацию пути URL (по крайней мере, от некоторых прокси, не уверенных во всех кроме, я подозреваю так). Это вызвано тем, что HTTP-заголовки шифруются в шифрованном тексте SSL. – squillman 27 August 2009 в 03:46
-
2Существуют незлые приложения для этого типа Проксирования: Контроль сетевой безопасности ( taosecurity.blogspot.com/2008/05/… ) – Josh Brower 27 August 2009 в 04:22
-
3Я говорю вот еще чему-либо делающему это как являющееся незлым. Мои +1 остаются здесь. – squillman 27 August 2009 в 04:32
-
4Ваши +1 остаются здесь? Я думаю it' s довольно злой для использования прерывающего SSL прокси также, но моего ответа было, конечно, более точным. – Luke 27 August 2009 в 04:33
-
5@Luke: Да, Evan отредактировал так it' s технически более точный теперь, чем он был. Я дал Вам +1 также... sheesh. – squillman 27 August 2009 в 04:41