it-swarm-ja.com

HTTPSが使用されている場合、ネットワーク監視ソフトウェアから保護されていますか?

仕事中の銀行口座と個人のメールアカウントにログインします。職場では禁止されていませんが、私がこれらのサービスで行っていることのコピーを保存/記録してほしくないのです。特に私のパスワード。

サービスがHTTPS接続を使用している場合、会社はこれらのサービスに使用しているパスワードを追跡/保存/ログに記録できますか?ページの内容はどうですか?

繰り返しになりますが、私の会社の規則では、個人の電子メールアカウントやインターネットバンキングサービスの使用を禁止していませんが、これらに関する重要な情報を彼らに知られたくないだけです。私がそれらを使用していることを彼らが知っていれば問題ありませんが、彼らは私のパスワードにアクセスするべきではありません。

HTTPSを使用している場合、それらを安全に使用できますか(会社がそのデータを保存できないことを知っています)?

P.S.私は実際にはネットワークの人ではなく、これらがどのように機能するかについてはよくわかりません。したがって、RTFMの返信はしないでください。

9
senthil

回答する前に:サイトで暗号化が不十分であるか、誤ったID情報を提供しているとブラウザが警告した場合は、エラーを読んで理解し、続行するかどうかをよく考えることが重要です。

簡単な回答:はい、信頼できるデバイスを使用している場合

長い答え:

誰かが別のコンピューター(あなたとあなたの銀行の間のどこか)からあなたの接続を監視していて、あなたがHTTPSを使用していて、彼らが適切に強力なアルゴリズムで署名された証明書を使用している場合、あなたは明確です。 (彼らが何年もの間データを保存し、後でアルゴリズムが壊れた後にそれを読んだ場合を除いて-しかし彼らはあなたの家に侵入してあなたのものを盗んだほうがよいでしょう;))。

銀行の場合は、適切に強力な暗号を使用した署名付き証明書を使用している可能性があります。これを確認するには、ページのSSL情報を確認します。この情報は、ページ情報を確認するか、Firefox 3.5のアドレスバーの左側にある青または緑の名前をクリックするか、ロックをクリックして表示されます。 IE8のアドレスバーの右側。 Firefoxは、色付きの領域をクリックした後に詳細情報を選択した場合に使用される暗号化アルゴリズムも表示します。

接続に使用しているデバイス(他の人によって変更された可能性のある自分のものではないコンピューターなど)を信頼できない場合は、より大きな懸念があります。今、あなたの職場はあなたの銀行情報を見るような違法なことをするつもりはないでしょう。ただし、システムが危険にさらされている場合は、 SSLが損なわれる 可能性があります。プロキシによって署名された証明書を受け入れるようにコンピューターが構成されている可能性があります(証明書の検査または証明書のピン留めはこれを阻止します)。ただし、監視はどこにでも行うことができます。たとえば、キーロガーは銀行の資格情報を取得するためにSSLを無効にする必要さえありません。 SSLを使用すると、2つの信頼できるエンドポイント間の接続を信頼する必要がなくなりますが、エンドポイント自体が信頼できない場合は、すべての賭けが無効になります。

9
Tyler Szabo

いいえ、必ずしも必要ではありません。あなたの会社は、man-in-the-middleとして機能するプロキシを介して接続を送信する場合があります。つまり、すべてのHTTPSトラフィックは、マシンからプロキシに送信され、そこで復号化され、分析され、暗号化されて、サーバーに送信されます。マシンはサーバーからのセキュリティ証明書を使用しませんが、代わりにプロキシが特定のWebサイト用にセキュリティ証明書を生成して送信するため、実際には2つのHTTPS接続があります。ユーザーからプロキシへとプロキシからサーバーへです。

それを実現するために、会社は証明書を生成するための証明書サーバーを持っている必要があります。通常、ブラウザはここで異議を唱え、認証局が信頼されていないと文句を言いますが、もちろん、グループポリシーなどで上書きできます。

ただし、これはアンチウイルスの概念の一部である可能性があるため、または法的な理由により、雇用主による不正行為であるとは限りません。

ブラウザで、証明書を確認します。特に、認証局を見てください。証明書がThawte、VeriSignなどの「実際の」CAによって発行された場合、それはサーバーからのものを使用していることを意味し、安全であるはずです。ただし、「YourCompany-AV」などによって発行された場合は、man-in-the-middleプロキシがあります。

6
Michael Stum

一般的に言って、安全です。https接続で銀行のウェブサイトにアクセスすると、ユーザー名やパスワードなどのデータがすべて暗号化されるため、暗号化アルゴリズムをよく知らない限り、非常に短時間で復号化することは困難です。 。ただし、キーロガーなどの他の攻撃もあり、知識があれば中間者攻撃が機能します。機密情報を入力する前に、常に環境に注意を払ってください。

1
John

会社所有のマシンを使用していて、会社のポリシーに同意している場合は、会社に固有の問題が発生している可能性があります。これ以上の詳細を知らなくても、あなたは安全であるべきだと思いますが、私はそれと警告のバランスを取る必要があります。技術的には可能ですが、「通常の」生活を送る場合、あなたが求めているシナリオよりもはるかに可能性の高い個人データへのリスクを提示する、毎日直面することがたくさんあります。

知っておくべきいくつかの基本的な事柄。会社は、あなたがどのサイトにどのくらいの期間アクセスしているかをまだ知っている可能性があります。データは暗号化されている可能性がありますが、データの送受信先のアドレスが公開されるようにルーティングする必要があります。

ブラウザのセキュリティ機能を利用することについての他の回答のアドバイスは良いです。作業機械の個人データに関連する会社のポリシーを確認するために少し時間を割く必要があることを付け加えておきます。

1
Jason Aller

銀行は通常、128ビット以上の暗号化を使用します。 SSL証明書のプロパティを確認するか、テクニカルサポートに問い合わせてそれが何であるかを確認してください。 128未満の場合は、使用しないことをお勧めします。しかし、128以上であれば、大丈夫です。 Ettercap、Wireshark、Shijack、そして肩に巨大なチップを持っているネットワーク上の誰かがあなたに対して何かを持っていない限り。ただし、それが心配な場合は、職場でネットバンキングを使用しないでください。それでは、銀行情報を入手するために誰かが自宅のコンピューターをクラックするのを防ぐにはどうすればよいでしょうか。あなたはおそらく仕事でより安全です。私のマネージャーは私のブラウザーの履歴をほとんどチェックできませんでした-SSL証明書によって提供されるSHA1-RSA暗号化をクラックすることを望んでいます。

1
user26528

一般的にネットワーク管理者がより良いことをするという理由だけで、事実上あなたは安全です。技術的には、いいえ、あなたのデータは安全ではありません。あなたは自分がどの分野にいるのかは言いませんでしたが、たとえばコールセンターの仕事には、非常に監視されたシステムがあります。キーストロークがログに記録され、通常の操作の一部として画面がキャプチャされている場合、データの暗号化は重要ではありません。管理者があなたの銀行口座情報を見る傾向があるのではないかと心配している場合は、仕事用のコンピューターを銀行に使用しないでください。

0
DHayes