Major Member
加入日期: Dec 2004
文章: 207
|
請教https proxy 是否可以偵測 web password
私人架的 lighttpd web https server, 在公司網路連線,公司網路都是透過proxy,請問porxy有可能偵測到user account, password嗎?
|
|||||||
2024-04-09, 03:10 PM
#1
|
Golden Member
加入日期: Aug 2004 您的住址: 北極星
文章: 2,565
|
HTTPS不是加密了嗎
|
||
2024-04-09, 03:25 PM
#2
|
Senior Member
加入日期: Sep 2001 您的住址: 淡水
文章: 1,080
|
引用:
當然可以。 所有的封包都經過它。 很方便執行中間人攻擊。 加密一開始確認雙邊確認密碼時,很容易找出金鑰。 此文章於 2024-04-09 03:27 PM 被 ghostcode 編輯. |
|
2024-04-09, 03:26 PM
#3
|
Power Member
加入日期: Jan 2002 您的住址: Taipei
文章: 659
|
https proxy 的中間人攻擊也不算簡單.
如果 client 確認看到的憑證是 server 那一端的那一個沒錯, 應該也看不到解密的內容. 不過.... 公司有可能會匯入自己可信任的根憑證在公司的電腦上.... 這時 client 不注意的話, 可能會誤認憑證是正常的... 那時 proxy server 就是什麼都看的到....
__________________
Tommy 碎碎念... |
2024-04-09, 04:29 PM
#4
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 6,968
|
https 只是通道加密
如果他的帳號密碼本身經過加密 那就是內容加密 難道這種你也要解?
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3 I Always Get What I Want. |
2024-04-09, 05:18 PM
#5
|
Golden Member
加入日期: Jan 2002
文章: 3,990
|
會去做HTTPS Proxy , Proxy本身的憑證當然也會是正式的 , 在此之下
只要是透過Proxy連線金融機構,當然可以看到client端的password !! 問題在於管理proxy 的主事者要不要看這一段資料罷了!! 既然公司的政策就是公司內部的PC連線都要透過Proxy , 那麼就是建議所有員工 不要用公司的資源去做私人的事務 , 這樣就絕對不會看到員工私人的帳號密碼!! 真的要連線金融機構處理私人事務,就用自己的手機網路連線的方式就好了!!
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗 還想讓統一賺你的錢嗎?統一集團成員(能見度高的): 星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、 康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、 維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT) 統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑 |
2024-04-10, 04:47 PM
#6
|
Major Member
加入日期: Dec 2004
文章: 207
|
我用如下指令可以看到webserver 憑證,看起來應該是有end to end加密
代碼:
openssl s_client -proxy proxy_ip:port -connect webserver_ip:port -showcerts 此文章於 2024-04-11 10:49 AM 被 crisliu2004 編輯. |
2024-04-11, 10:47 AM
#7
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 6,968
|
在中間 proxy 做監視
首先你要在 client 安插 proxy 憑證 如果 client 要在 google 登入帳號 第一他的瀏覽器的網誌列會整個紅色的 google 甚至會提示你的流量遭到監控 如果你執意要輸入密碼,你也只拿到經過加密的密碼 你根本解不了
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3 I Always Get What I Want. |
2024-04-11, 12:04 PM
#8
|
Golden Member
加入日期: Jan 2002
文章: 3,990
|
至少我不會去挑戰公司的政策...
如果您認為有加密可以放心用就去用!! 出了問題就只能自行承擔....
__________________
您想買新硬碟嗎? 購買前請務必參考這篇文章,是我的實際經驗 還想讓統一賺你的錢嗎?統一集團成員(能見度高的): 星巴克、家樂福、7-11、無印良品、黑貓宅急便、聖娜多堡、阪急百貨、 康是美、博客來、夢時代、Mister Donut 、Cold Stone 、龜甲萬、 維力33%股權、光泉31%股權、Smile速邁樂、紅心辣椒、台北轉運站(統一企業BOT) 統一LP33膠囊有環保署早已列管的一級管制品: DNOP塑化劑 此文章於 2024-04-11 12:46 PM 被 anderson1127 編輯. |
2024-04-11, 12:32 PM
#9
|