Поскольку Gmail использует https, все сообщения должны быть зашифрованы?
Здесь мы предполагаем, что моя компания не имеет регистратора нажатий клавиш или программного обеспечения для создания случайных снимков.
3 ответа
4
Если вы используете Firefox, возможно, вы захотите взглянуть на https://addons.mozilla.org/de/firefox/addon/perspectives/, который представляет собой довольно простое в использовании дополнение для обнаружения атаки MitM, которое в противном случае могло бы остаться незамеченным , Этот способ, вероятно, более практичен, чем всегда проверка сертификатов по списку отпечатков пальцев, которые вы собрали из надежного источника (например, дома) вручную.
Обратите внимание, что даже если ваш браузер не имеет специального сертификата вашей компании в своем списке доверенных корневых сертификатов и система не скомпрометирована в противном случае, может существовать MitM. Как? По крайней мере один CA (Trustwave) в прошлом не заслуживал доверия, выдавая промежуточный сертификат компании для сомнительных целей. См. Http://www.h-online.com/security/news/item/Trustwave-issued-a-man-in-the-middle-certificate-1429982.html - также были успешные вторжения в CA (например, DigiNotar Comodo), что приводит к более поддельным сертификатам.
Таким образом, текущая концепция доверия в браузерах ужасно нарушена, так как существует множество CA, которым доверяют по умолчанию, и один ненадежный CA разрушает всю систему. Было доказано, что более одного CA не заслуживают доверия, и никто не может предсказать, какой из них следующий. Перспективы - это интересный подход, позволяющий обойти проблему MitM с мошенническим сертификатом, а также сделать ненужными дорогие сертификаты CA.
1
Им не нужен поддельный сертификат, просто модифицированная (возможно, с помощью плагина) копия браузера с логикой захвата пакетов. Проверка отпечатков пальцев ничего не даст.
Это рабочая машина. Не загружайте на него данные, которые не нужны вашему работодателю.
В некоторых браузерах захват зашифрованных пакетов может быть таким простым, как изменение параметра конфигурации «не кэшировать HTTPS-страницы» и извлечение страниц из кеша.
Удаленные ответы особенно актуальны, в частности, тот, который указывает в IE "Не сохранять зашифрованные страницы на диск", по умолчанию отключен.
0
Используя Linux (или Cygwin под Windows), вы можете сделать это, чтобы увидеть сертификат (включая цепочку сертификатов): echo | openssl s_client -connect HOST:443 . Просто измените HOST на mail.google.com или любой другой веб-сайт HTTPS. Сам сертификат сервера также выводится в форме base64 , и вы можете сравнить его с тем же сертификатом, полученным за пределами вашей компании. Если они точно совпадают, вы в порядке. Если они различаются, проверьте цепочку сертификатов на наличие сертификатов, которые выглядят поддельными. Это не обязательно означает, что вы работаете в MITM , но это возможно.
Помните, что для крупных компаний, таких как Google, сертификат сервера, который вы получаете в своей компании, может быть получен с сервера, географически удаленного от сервера, к которому вы обращаетесь за пределами компании. Таким образом, они могут иметь разные сертификаты, но цепочка сертификатов должна содержать только действительные центры сертификации. Если вы видите подозрительный центр сертификации в цепочке, не используйте Gmail с работы.