Например, войти в мой банковский счет или знать, какую информацию я отправляю через HTTP?
Не знаю, какой у нас прокси-сервер.
Абсолютно. Некоторые прокси-серверы корпоративного уровня поддерживают повторное шифрование соединений, устанавливаемых вашим браузером, с помощью корпоративного центра сертификации. По сути, группа администрирования может отправить сертификат на вашу рабочую станцию через групповые политики и добавить его в список доверенных центров. Затем прокси-сервер имеет закрытый ключ, соответствующий этому сертификату, и на лету генерирует сертификат для каждого имени хоста. Затем, когда ваш браузер подключается, прокси использует HTTPS для подключения к месту назначения, но затем шифрует фактический туннель к вашему браузеру, используя вышеупомянутый сертификат и закрытый ключ.
Также существуют прокси-серверы с открытым исходным кодом и бесплатные прокси, способные к этому перехвату (это просто атака MITM, упрощенная администраторами, имеющими доступ к списку доверенных сертификатов на каждой рабочей станции).
Изменить: вы можете обнаружить это, проверив, кто подписал сертификат для каждого сайта HTTPS, но имя может даже соответствовать существующим сертификатам, поэтому вам нужно будет сравнить отпечаток пальца с известным исправным отпечатком каждого центра сертификации.
Обычно нет (см. Мою правку ниже). HTTPS зашифрован от начала до конца, поэтому ваш компьютер сам выполняет шифрование и дешифрование, как и серверный компьютер на другом конце. Все, что находится в сети, зашифровано, поэтому компьютер прокси-сервера просто видит проходящий зашифрованный текст.
Теперь, с тем кейлоггером, который ИТ-отдел установил на ваш компьютер ...> smile <
А если серьезно, если кто-то другой управляет машиной, которую вы используете для доступа к конфиденциальным веб-сайтам, у него может быть программное или аппаратное обеспечение, установленное на самом ПК, чтобы контролировать вас. Я не знаю, насколько вы доверяете своему работодателю, но я не получаю доступ к конфиденциальным веб-сайтам, таким как банковские операции, с компьютеров, которые администрируются и / или принадлежат другим лицам.
Редактировать:
Ну и дела ... Мне жаль, что я не пошел дальше и напечатал тот абзац, о котором я думал добавить re: прокси, который выполняет автоматическую атаку человека посередине, потому что я думаю, что действительно существуют теневые продукты, которые могут сделай это! Безумие.
Видимо там являются устройства, которые могут выполнять автоматические атаки типа «злоумышленник в середине» против SSL. Они требуют, чтобы сертификат ЦС был установлен на клиентском компьютере «жертвы», поскольку прокси по определению будет чеканить поддельные сертификаты для каждого сайта HTTPS, с которым он пытается перехватить связь.
Я буду придерживаться своего утверждения выше: не заходите на конфиденциальные веб-сайты с компьютеров, которыми вы не управляете / не владеете. В случае одного из тех злых прокси-серверов типа «человек посередине», о которых Люк упомянул в своем сообщении, на вашем персональном компьютере не будет загруженного необходимого сертификата центра сертификации для центра сертификации прокси-сервера, и, следовательно, вы бы получите в браузере предупреждение о том, что на веб-сайте был выдан сертификат неизвестным центром сертификации.
При мысли о таком продукте у меня неприятный привкус во рту. Единственная полезность, которую я вижу в таком устройстве, - это слежка за пользователями.