Apakah saya aman dari perangkat lunak pemantauan jaringan jika HTTPS digunakan?

9

Saya akan masuk ke rekening bank saya dan akun email pribadi saya di tempat kerja. Ini tidak dilarang di tempat kerja, tapi saya hanya tidak ingin mereka menyimpan / mencatat salinan apa pun yang saya lakukan dengan layanan ini. Terutama kata sandi saya.

Jika layanan menggunakan koneksi HTTPS, apakah perusahaan saya dapat melacak / menyimpan / mencatat kata sandi saya, yang saya gunakan untuk layanan ini? bagaimana dengan isi halaman?

Sekali lagi, peraturan di perusahaan saya tidak melarang penggunaan akun email pribadi saya atau layanan internet banking, tetapi saya hanya tidak ingin mereka mengetahui informasi penting tentang ini. Tidak apa-apa jika mereka tahu saya menggunakan itu, tetapi mereka seharusnya tidak mendapatkan akses ke kata sandi saya.

Dapatkah saya menggunakannya dengan aman (mengetahui perusahaan saya tidak dapat menyimpan data itu) jika HTTPS digunakan?

PS Saya benar-benar bukan orang jaringan dan saya tidak tahu banyak tentang bagaimana hal-hal ini bekerja. Jadi tolong jangan memberikan balasan RTFM.

networking security monitoring logging https quack quixote
sumber
Seperti yang sudah dijawab: jaringan bukan masalah. Jejak yang ditinggalkan oleh browser Anda (pada komputer yang Anda gunakan) jauh lebih mungkin. Beberapa browser memiliki pengaturan eksplisit untuk mengaktifkan / menonaktifkan menyimpan halaman terenkripsi dalam cache offline. (Seperti di Firefox: kb.mozillazine.org/Browser.cache.disk_cache_ssl yang defaultnya salah, yang aman.)
Arjan
Saya menggunakan mode "penjelajahan pribadi" di firefox. Saya harap itu tidak akan menyimpan barang di sistem saya.
Tidak, itu jauh lebih mungkin bahwa perusahaan Anda memiliki perangkat lunak pemantauan pada stasiun kerja Anda yang memonitor dan mencatat apa yang Anda lakukan.
BBlake
Hei, terima kasih atas semua jawabannya! Anda sudah menjelaskan banyak hal. Sekarang saya mengerti apa yang mungkin dan apa yang perusahaan saya bisa / tidak bisa lakukan. Menilai dari apa yang telah kalian jelaskan, dan keahlian teknis perusahaan saya, saya dapat menyimpulkan bahwa sangat tidak mungkin mereka akan mengetahui hal-hal yang dikirim melalui HTTPS. Terima kasih atas semua bantuannya! :) Saya bukan anggota, jadi saya tidak bisa mengambil banyak jawaban meskipun mereka pantas mendapatkannya.

Jawaban:

9

Sebelum menjawab: Jika browser memperingatkan Anda tentang situs yang menggunakan enkripsi yang buruk atau memberikan informasi identitas yang salah, penting untuk membaca kesalahan, memahaminya, dan berpikir keras tentang apakah Anda ingin melanjutkan.

Jawaban Singkat: Ya, jika Anda menggunakan perangkat tepercaya

Jawaban panjang:

Jika seseorang memantau koneksi Anda dari komputer lain (di suatu tempat antara Anda dan bank Anda) dan Anda menggunakan HTTPS, dan mereka menggunakan sertifikat yang ditandatangani dengan algoritma yang kuat, maka Anda berada di tempat yang jelas. (Kecuali jika mereka menyimpan data selama bertahun-tahun dan kemudian membacanya setelah algoritme rusak - tetapi mereka mungkin akan lebih baik membobol rumah Anda dan mencuri barang-barang Anda;)).

Kemungkinannya adalah, jika itu bank Anda, maka mereka menggunakan sertifikat yang ditandatangani dengan sandi yang cukup kuat. Anda dapat memverifikasi ini dengan melihat informasi SSL untuk halaman, yang harus ditampilkan jika Anda melihat info halaman, klik pada nama Biru atau Hijau di sebelah kiri di bilah alamat dengan Firefox 3.5, atau klik pada kunci untuk kanan di bilah alamat di IE8. Firefox juga akan menampilkan algoritma enkripsi yang digunakan jika Anda memilih Informasi Lainnya setelah mengklik area berwarna.

Jika Anda tidak mempercayai perangkat yang Anda gunakan untuk terhubung (seperti komputer yang bukan milik Anda yang bisa dimodifikasi oleh orang lain), maka itu menjadi perhatian yang lebih besar. Sekarang, tempat kerja Anda kemungkinan tidak akan melakukan hal ilegal seperti melihat informasi perbankan Anda; tetapi SSL mungkin bisa dirusak jika sistem Anda terganggu. Bisa jadi komputer Anda dikonfigurasikan untuk menerima sertifikat yang ditandatangani oleh proxy (pemeriksaan sertifikat atau pinning sertifikat akan menggagalkan ini). Namun, pengawasan bisa di mana saja - keylogger bahkan tidak perlu mengalahkan SSL untuk mendapatkan kredensial perbankan Anda, misalnya. SSL membuatnya sehingga Anda tidak perlu mempercayai koneksi antara dua titik akhir tepercaya, tetapi jika titik akhir itu sendiri tidak dapat dipercaya, semua taruhan dimatikan.

Tyler Szabo
sumber
baik. Ambil hotmail misalnya. Jika saya memilih "gunakan keamanan yang ditingkatkan" saat masuk, itu beralih ke koneksi HTTPS. di Firefox, bilah alamat berwarna hijau, dan dari apa yang ditampilkan di sana, saya rasa cukup aman. Mengambil ini sebagai contoh, untuk tujuan praktis, sangat baik untuk menggunakan situs web dengan koneksi HTTPS semacam ini, mengetahui bahwa tidak ada seorang pun (setidaknya dalam beberapa bulan ke depan) yang dapat mendekripsi informasi tersebut. Apakah saya benar?
Saya akan berpikir begitu. Saya akan terkejut jika administrator jaringan mendapatkan akses ke rekening bank Anda menggunakan lalu lintas jaringan saja ketika Anda menggunakan HTTPS. Dengan itu, ada cara lain Anda bisa rentan bahkan ketika menggunakan koneksi aman, dan Anda harus mengikuti instruksi bank Anda tentang cara menggunakan situs mereka - seperti selalu logout setelah selesai (tidak seperti menutup jendela) dan tidak menjelajahi situs lain saat perbankan. Selalu gunakan peramban terbaru, dan pastikan komputer yang Anda gunakan tepercaya dengan perangkat lunak anti-virus.
Tyler Szabo
6

Tidak, tidak perlu. Perusahaan Anda dapat mengirim koneksi Anda melalui proxy yang bertindak sebagai man-in-the-middle. Yaitu: Semua lalu lintas HTTPS pergi dari mesin Anda ke proksi, didekripsi di sana, dianalisis, dienkripsi, dan dikirim ke server. Mesin Anda tidak akan menggunakan sertifikat keamanan dari server, tetapi sebaliknya proksi akan menghasilkan satu untuk situs web yang diberikan dan mengirimkannya kepada Anda, sehingga Anda benar-benar memiliki dua Koneksi HTTPS: Dari Anda ke proxy dan dari proxy ke server.

Selain itu untuk mewujudkannya, perusahaan perlu memiliki server sertifikat untuk menghasilkan sertifikat. Biasanya browser akan keberatan di sini dan mengeluh bahwa otoritas sertifikat tidak dipercaya, tetapi tentu saja itu dapat ditimpa melalui kebijakan grup dan sejenisnya.

Namun hal ini tidak harus dilakukan oleh majikan, karena ini dapat menjadi bagian dari konsep anti-virus atau karena alasan hukum.

Di browser Anda, lihat sertifikat. Terutama, lihat otoritas sertifikat. Jika sertifikat dikeluarkan oleh CA "nyata" seperti Thawte, VeriSign dll, maka itu berarti bahwa Anda menggunakan yang dari server dan Anda harus aman. Namun, jika dikeluarkan oleh sesuatu seperti "YourCompany-AV" atau sejenisnya, maka Anda memiliki proksi man-in-the-middle.

Michael Stum
sumber
2
Saya pikir mungkin harus ditekankan di sini. Proxy normal tidak membuat sertifikat saat itu juga, dan jangan mendekripsi lalu lintas HTTPS (tetapi mendukung metode CONNECT).
Arjan
1
... tapi sekali lagi: penanya pertanyaan yang bersangkutan, jadi mungkin itu hanya sebagai baik lagi semua kemungkinan. (Dan mungkin ada lebih banyak perusahaan dengan proksi semacam itu daripada yang dapat saya bayangkan? Lagipula +1!)
Arjan
Benar, biasanya Proxy hanya melewati lalu lintas HTTPS karena mereka tidak dapat melakukan apa-apa dengannya, dan saya tidak tahu apakah HTTPS-Inspeksi sedang meningkat, tetapi saya sudah melihatnya terjadi sehingga saya hanya berpikir saya menunjukkan kemungkinannya.
Michael Stum
Saya tidak tahu seberapa umum praktik itu, tetapi majikan saya melakukan ini. AFAIK untuk memastikan kami tidak mengirim data hak milik dari jaringan melalui SSL.
Dan Is Fiddling By Firelight
1
@senthil Inti dari HTTPS adalah untuk mengenkripsi lalu lintas dan untuk mengidentifikasi para peserta . Siapa pun yang mengendalikan garis secara teoritis bisa menjadi pria di tengah (karenanya bahkan disebut serangan man-in-the-middle) tetapi tidak seperti HTTP yang tidak terenkripsi, ini tidak akan tetap tidak terdeteksi. Seperti yang dikatakan, periksa sertifikat dan siapa yang menerbitkannya. Biasanya tidak ada cara untuk memalsukan sertifikat (Ada bug di beberapa versi Linux Debian yang memungkinkan untuk memalsukan sertifikat, tetapi sejauh ini merupakan insiden yang terisolasi).
Michael Stum
1

Secara umum, Anda aman. Karena ketika Anda mengunjungi situs web bank melalui koneksi https, semua data seperti nama pengguna dan kata sandi dienkripsi, sulit untuk mendekripsi dalam waktu yang sangat singkat, kecuali mereka tahu algoritma enkripsi dengan sangat baik . Namun, ada serangan lain seperti pencatat kunci, man di tengah akan bekerja jika mereka berpengetahuan luas. Selalu perhatikan lingkungan sebelum Anda memasukkan informasi sensitif.

John
sumber
pria di tengah akan bekerja jika mereka memiliki pengetahuan - dengan HTTPS?
Arjan
1

Jika Anda menggunakan mesin milik perusahaan dan telah menyetujui kebijakan perusahaan, mungkin ada masalah yang dihadapi khusus perusahaan Anda. Tanpa mengetahui detail lebih lanjut saya katakan Anda harus aman, tapi saya harus menyeimbangkannya dengan peringatan. Secara teknis itu mungkin, tetapi jika Anda menjalani kehidupan "normal" ada banyak hal yang Anda hadapi setiap hari yang memberikan risiko yang jauh lebih besar terhadap data pribadi Anda daripada skenario yang Anda tanyakan.

Beberapa hal mendasar yang harus diperhatikan. Perusahaan masih dapat mengetahui situs mana yang Anda kunjungi dan untuk berapa lama. Data dapat dienkripsi, tetapi masih harus dirutekan sehingga alamat dari dan ke mana data tersebut diekspos.

Saran dalam jawaban lain tentang memanfaatkan fitur keamanan apa pun dari browser Anda adalah baik. Saya akan menambahkan bahwa Anda harus meluangkan waktu sejenak untuk meninjau kebijakan perusahaan Anda yang terkait dengan data pribadi pada mesin kerja.

Jason Aller
sumber
Hai, seperti yang saya sebutkan, saya tidak khawatir tentang mereka mengetahui situs apa yang saya kunjungi dan untuk berapa lama, selama mereka tidak tahu apa yang saya ketik di bidang teks. Dan saya sangat yakin mereka tidak memiliki penebang kunci.
1

Bank umumnya menggunakan enkripsi 128 bit, atau lebih tinggi. Periksa properti sertifikat SSL mereka, atau bahkan minta salah satu dukungan teknis mereka untuk mencari tahu apa itu. Jika di bawah 128 saya sarankan tidak menggunakannya. Tetapi jika 128 atau lebih, Anda harus baik-baik saja. Kecuali seseorang di jaringan dengan Ettercap, Wireshark, Shijack dan sebuah chip besar di bahu mereka memiliki sesuatu yang menentang Anda. Namun, jika Anda mengkhawatirkannya, maka jangan gunakan net banking di tempat kerja. Kemudian lagi, apa yang harus menghentikan seseorang meretas komputer Anda di rumah untuk mendapatkan informasi perbankan Anda? Anda mungkin lebih aman di tempat kerja. Manajer saya hampir tidak dapat memeriksa riwayat browser saya - Saya ingin melihat mereka memecahkan enkripsi SHA1-RSA yang disediakan oleh sertifikat SSL.

pengguna26528
sumber
ROFLOL .. Saya tidak berhenti tertawa selama 2 menit setelah saya membaca baris terakhir Anda: D
Apakah Anda baru saja menyatukan banyak kata yang berhubungan dengan tangen?
Bryan Boettcher
0

Secara efektif Anda aman hanya karena umumnya admin jaringan memiliki hal-hal yang lebih baik untuk dilakukan. Secara teknis, tidak, data Anda tidak aman. Anda tidak mengatakan bidang apa yang Anda masuki, tetapi pekerjaan pusat panggilan misalnya akan memiliki sistem yang sangat dipantau. Enkripsi data tidak masalah jika penekanan tombol sedang dicatat dan layar ditangkap sebagai bagian dari operasi normal. Jika Anda khawatir admin cenderung melihat informasi rekening bank Anda, maka JANGAN gunakan komputer kerja Anda untuk perbankan.

DHayes
sumber
-1

Perusahaan sering menggunakan proxy dan firewall untuk analisis jaringan, tetapi Anda dapat yakin bahwa lalu lintas https tidak dapat diendus oleh salah satu dari mereka. Itulah prinsip dasar https, untuk mencegah serangan manusia-di-tengah.

Fernando Carvajal
sumber
Ingin menambahkan referensi untuk mencadangkan komentar Anda, jadi jika mereka ingin membaca lebih lanjut, mereka bisa yakin?
fernando.reyes
"Tetapi Anda dapat yakin bahwa lalu lintas https tidak dapat diendus oleh salah satu dari mereka." Saya dapat mengkonfirmasi ini salah di banyak perusahaan, pada kenyataannya, banyak perangkat lunak keamanan anti-virus juga membuat pernyataan ini salah, ini sangat salah dan berbahaya
Ramhound
@Ramhound Anda salah besar, jelas perangkat lunak antivirus Anda dapat mengendus lalu lintas Anda karena sebelumnya Anda telah mengizinkannya, itu ada di komputer Anda. Jika perusahaan Anda memiliki PC kantor Anda, maka jelas mereka dapat mengendus lalu lintas Anda, mereka dapat menginstal sertifikat ssl di komputer Anda, sehingga browser Anda akan mempercayai mereka dan siapa pun yang memiliki kunci pribadi dapat menonton paket Anda. Jika Anda membawa komputer pribadi ke kantor Anda, tidak ada yang bisa mengendus lalu lintas Anda. Anda sangat salah dan berbahaya.
Fernando Carvajal
Penulis pertanyaan ini tidak menggunakan BYOD. . Jelas berdasarkan konteks pertanyaan yang mereka gunakan di komputer perusahaan. Anda tidak pernah membuat klarifikasi BYOD dalam jawaban Anda. Anda bilang itu tidak mungkin, "tetapi Anda dapat yakin bahwa lalu lintas https tidak dapat diendus oleh salah satu dari mereka.", Yang sebenarnya tidak benar. Pada akhirnya tidak masalah siapa yang benar atau salah.
Ramhound
-2

Dimungkinkan untuk menyimpan paket dan memecah enkripsi rsa nanti, meskipun karena Internet didasarkan pada packet switching, tidak mungkin penyerang memiliki substansi yang cukup untuk menyusun kembali paket TCP.

Segalanya dan segalanya adalah mungkin.

Pengulangan
sumber
Anda dapat bruteforce bahkan RSA 1024-bit selama berbulan-bulan dengan ratusan komputer ( pcworld.com/article/id , 132184-pg ,1/ article.html ), dan 2048-bit tidak begitu jarang saat ini.
whitequark
OK saya tidak peduli jika 399 juta tahun, masih mungkin.
Rekursi
Namun, siapa yang akan menghabiskan semua kekuatan komputasi ini untuk memutus koneksi SSL perbankan, kecuali ada sesuatu yang sangat mencurigakan tentang pengguna ini? Seperti yang dikatakan sebelumnya, jika Anda seorang pekerja normal, dan Anda tidak melakukan sesuatu yang ilegal, Anda tidak perlu khawatir, kecuali bos Anda memiliki alasan yang sangat baik untuk memata-matai Anda. Dia, akan lebih mudah untuk menyembunyikan setengah lusin web cam untuk memata-matai penekanan tombol Anda daripada untuk mendekripsi lalu lintas SSL Anda.
jfmessier
OK dan lagi, OP bertanya apakah itu mungkin, bukan jika itu kemungkinan. Tolong tetaplah memilih.
Rekursi
. Anda baik untuk meluangkan waktu untuk menjawab :). Saya kira kepraktisan tersirat dalam pertanyaan saya. Mengapa saya peduli jika seseorang mengetahui rincian rekening bank saya 399.000 tahun setelah saya mati? : P