Слушать https в корпоративной сети?

Question

[Илья Чертов]

На рабочем месте пользуюсь хромом. Могут ли админы слушать мой HTTPS трафик, если установят свой центр сертификации в win7? Например я иду в гугл, хром мне выдают страницу по HTTPS с подмененным сертификатом, но он валидный, тк его туда добавили админы. Паранойя?

Answer 1

[other_letter]

Не совсем так.
Могут подменять сертификат и для тебя всё будет выглядеть как секьюрно. Конечно, пока не поглядишь внимательно.

Comments

[Илья Чертов]

Т.е. им нужен ключ сервера, а он только у меня. Иначе им придётся поменять сертификат на полностью свой, и я это увижу, если сравню сертификаты? Но если я не буду смотреть вручную, то ничего не узнаю, т.к. браузер не выдаст предупреждения. Верно?

[Сергей]

нет не верно )

[other_letter]

Неверно. Вы будете видеть, что соединение идёт через HTTPS. Между тем сертификат подменен и трафик может быть прослушан. Подменен ли сертификат Вы сможете увидеть без проблем, но оснований проверять это постоянно особо нет.
Впрочем, такими финтами (подменой) уже давно пользуются, напримеР, провайдеры.

[other_letter]

Ниже уже написали - админам в общем-то нафиг не нужно прослушивать Ваш трафик. Этим комплексом иногда страдают начинающие, но быстро излечиваются сами. Ищете дополнительный заработок? Общаетесь с мальчиками допризывного возраста? Админу плевать, пока его это не коснётся.

[Илья Чертов]

Ой-ой! Вы меня прям каким-то очень плохим видите. Все только из любопытства!

Answer 2

[Fredcapit]

А нафига админам твой https трафик. Теоретически можно сделать man in the middle даже и с https трафиком, только это очень квалифицированная работа.
Вы слышали о том, как вскрыли миллионы аккаунтов пользователей Mail.ru, yandex.ru и т.п.?
Не могу утверждать, но мне кажется, что здесь была реализована технология отравления DNS кэша, в результате чего пользователи сами не всмотревшись в страницу переслали злоумышленниками свои учётные данные (вводя их в поддельную веб страницу)
Насчёт центра сертификации не думаю, что хром будет использовать локальный центр сертификации для удаленного сайта из другого домена.
В общем случае это паранойя.
Боитесь админов? Сделайте двухэтапную аутентификацию, чаще меняйте пароль (не на работе, а дома), используйте рекомендации вашего почтового сервера.

Comments

[Илья Чертов]

А разве в хром нельзя добавить центр сертификации в ручную?, машины то корпоративные.

Answer 3

[Пума Тайланд]

Могут подменять сертификат и автоматом его поставить на ваш комп и будет казаться все валидным. Дело не хитрое.
Ну сертификат можно посмотреть самому и увидеть ч то он левый, но браузер будет думать что все хорошо

Answer 4

[Антон]

когда коту делать нечего, то он...
админы могут сделать всё что угодно, абсолютно - вопрос: зачем? много раз замечал у пользователей манию собственного возвеличивания..) поверьте, и без вас работы админам хватает, если сами не будете елозить и "напрашиваться" на "случайный" аудит..) лично у меня вызывают подозрения пользователи, которые что то там пытаются "мутить" в интернете в рабочее время - приди домой и занимайся сколько влезет чем угодно и как угодно в "этих интернетах"..)
работайте на работе и спите спокойно..)
так что - паранойя)