it-swarm-ja.com

雇用主は、会社のWi-Fiを使用して個人の電話で表示されたWebサイトを見ることができますか?

誰もネット上で適切に答えることができなかったという質問があります。個人のiPhoneを使用し、会社のゲストWiFiに接続して、たとえばhttps://google.com/news、私の雇用主は次のように表示/ログしますか?

  1. https://google.com(つまり、/newsは非表示です)
  2. 完全なURL

HTTPSはURLの一部を暗号化すると回答した人もいれば、完全なURLがルーターのログに記録されると回答した人もいます。

私に回答したほとんどの人は、シナリオ1が最も可能性が高いと言います。つまり、「/」の後のURLの詳細は、HTTPS接続のために見えないままであり、したがってルーターのログにキャッチされません。ネットワーク管理者は何でも見ることができ、記録できると言う人もいます(私にとっては、HTTPSの主要なポイントの1つを打ち負かしているようです。繰り返しますが、これは誰もアクセスできない個人のIPhoneです。

2
Jim D

ここで考慮する必要があるのはHTTPだけではありません...

Wi-Fi

それ自体がWiFiは非常にオープンなテクノロジーです。アンテナとラジオが近くにある人なら誰でもトラフィックを収集できます。

WiFiネットワーク自体は暗号化できますが、これを回避するには 多くの方法 があります。会社のネットワークに接続している場合、近くにいる他の人もパスワードを持っている可能性があります。

キャプチャとアーカイブ

覚えておいてください-ネットワーク管理者はネットワークを通過するすべてのトラフィックを見ることができ、それをキャプチャしてアーカイブすることを妨げるものは何もありません。

secure」セッションで弱点が発見された場合、収集されたデータが危険にさらされ、潜在的に復号化される可能性があります。

計算能力が十分に進んでいる場合、 brute-forcing がプレーンテキストデータを取得するための実行可能なオプションになる可能性があります。

平均的な企業が「ネットワーク上の」トラフィックの重要なアカウントをログに記録することはまずありません。

帰属

デバイスの MACアドレス に基づいて、トラフィックを直接電話に結び付けることができます。

"MACアドレスのランダム化" が最近提供されました...ただし、 一部の場合 これはトラフィックを適切に匿名化するには不十分です。

DNS

標準的な電話設定の場合、 [〜#〜] dns [〜#〜] クエリは、ネットワークオペレーターや近隣のユーザーに簡単に表示されます。たとえば、google.com、またはmail.google.comのIPアドレスを要求する電話。

それは可能ですが、妥当なサイズでない限り、企業がDNSクエリをログに記録することはほとんどありません。

IPアドレス指定

ネットワーク/インターネット上の別のシステムと通信するには、パケットがリモートシステムの IPアドレス を使用して適切に送信される必要があります。

多くの場合、これはサイト、または直接通信している会社を識別します(つまり、GoogleサーバーはGoogleサービスのみをホストします)。ただし、多くの小規模なサイトでは共有ホスティング(つまり、単一サーバー上の複数のWebサイト)を使用しているため、閲覧しているWebサイトの暗黙性が低くなります。

HTTP(SSLなし)

通常、実際のWebトラフィックはSSL/HTTPSを使用して暗号化されます。ただし、HTTPSサポートを強制または提供しないWebサイトがまだあることに注意してください。このような場合、すべてのトラフィックが "seen"になる可能性があります。

HTTPS

HTTPSを使用するWebサイト(上記のDNS情報は無視)の場合、 サーバー名表示 を使用して、単一サーバーで複数のドメインをホストできるようになりました。これにより、クライアントが情報を要求したドメインに応じて、サーバーは正しいSSL証明書でハンドシェイクに応答できます。

この場合、ホスト名はハンドシェイクの一部としてプレーンテキストで送信されるため、表示されます。

Man in the Middle

HTTPSが使用されている場合stillの可能性がありますトラフィックを復号化するネットワークオペレーター。多くの企業がプロキシを実行し、従業員のデバイス(ラップトップ、電話など)に証明書をインストールしています。

この場合、あなたは "Man in the Middle" 攻撃に対して脆弱です-あなたの雇用主はすべてのトラフィックを解読できます、プロキシタイプのサービス(コンテンツフィルタリング、キャッシングなど)を提供し、「correct "証明書。

これは、個人のデバイスでは考えられません。

これは DNS証明機関の承認 ...によっても軽減されます。ただし、オペレーターがこれに対するDNS応答もスプーフしない限り、ブラウザがDNS CAA応答をキャッシュするかどうかはわかりません...

VPN

VPNを使用していて、すべてが正しく構成されている場合、VPNサーバーのDNSレコードのみがローカルにリークする可能性があります(直接IPを使用していないと想定)。 VPNプロバイダーを信頼する必要もあります。

ただし、VPN設定が正しく構成されていない場合でも、 DNSクエリ は非常に簡単にリークする可能性があります。


要約すると、

  • ネットワークオペレーター(および近くにいる人)は、allトラフィックを見ることができます。
  • ネットワークオペレーターは、通信しているリモートサーバーのIPアドレスを確実に確認できます。
  • ネットワークオペレーターが通信しているサイトのホスト名を確認できることはほぼ確実です(例:google.com)。
    • ホスト名はDNS経由でリークします。
    • ホスト名はおそらくSNI経由でもリークします(SSLハンドシェイクの一部)
  • スキーマを推測できます(例:https://)。
  • 企業のデバイスのトラフィックがプロキシで復号化される可能性は十分にあります。さもなければ、他の人があなたの復号化されたトラフィックを簡単に「見る」ことができる可能性は低いです。
  • キャプチャされたデータは将来貴重になる可能性があります-暗号化は実際には一時的な手段です-脆弱性が見つかるまで、またはコンピューティングパワーがブルートフォーシングを簡単にするほど十分に進歩するまで。
6
Attie

回避策がないと仮定して特定の質問に答えるには... GenericCoのゲストwifiに接続した後、ブラウザーを開いて https://google.com/news に移動してみます。

A)DNS要求が平文で送信され、DNSサーバーにIPアドレスを尋ねます。 DNSは通常暗号化されていないため、WireSharkを備えたスヌーピーシステム管理者はDNSを簡単に見ることができます。この目に見えるDNSリクエストはすべてのドメインとサブドメインで発生するため、mail.google.comとgoogle.comは2つの別々のリクエストとして表示されます。

B)HTTPS接続要求がそのIPアドレスに送信されます。ハンドシェイクが発生し、コンピューターはその特定のページ/ newsをダウンロードしようとします。理論的には、この時点で安全なHTTPS接続があるため、スヌープがそれを見るのははるかに困難です。

一般に、雇用主はあなたが彼らのネットワークで行っていることを何でも見ることができると仮定します。結局、それは彼らのインターネット接続です。 VPNやその他の回答で表示されるその他の方法を使用して、難読化できます。ただし、雇用主以外の他の個人もそれを見ることができる場合があることに注意してください。 VPNを使用すると、近くの人ができるスヌーピングの量が減りますが、VPNプロバイダーを信頼する必要があります。

0

この質問に対する簡単な答えは、シナリオ1が正しいということです。

接続はHTTPSであり、あなたとあなたが接続している相手を除いて、URLのドメイン名部分の後に入力されたものは誰にも表示されません。あなたの雇用主は次の情報しか知りません:

  1. デバイス名、MACアドレス、IPアドレス
  2. 接続しているAPとデバイスのおおよその位置。
  3. WiFiに接続するためにサインインする必要がある場合のサインイン名
  4. アクセスするサイトのドメイン名、いつ、どのくらいの期間
  5. 暗号化されていないトラフィックのすべての詳細。

これは、雇用主がデバイスに何かをインストールすることを許可していないことを前提としています。また、雇用主が実際にこの情報の一部を収集するために必要な追加の手順を実行していると想定しています。最後に、はい、これらの5つの項目は、ネットワークに接続されている電話が誰であるかさえ知らない可能性があることを示唆しています。

この情報量により、雇用主は携帯電話のモデル、携帯電話にインストールされているアプリ、インターネットの動作について多くのことを推測できます。

そうは言っても、ここでの明らかな免責事項は、会社のポリシーに違反することをするために雇用主のWiFiを使用するべきではないということです。したがって、懸念がある場合は、会社のWiFiをオフにしてください。

0
Appleoddity