HTTPSが使用されている場合、ネットワーク監視ソフトウェアから安全ですか？

銀行口座と個人のメールアカウントにログインします。職場での使用は禁止されていませんが、私がこれらのサービスで行っていることのコピーを保存/ログに記録したくないだけです。特に私のパスワード。

サービスがHTTPS接続を使用している場合、私の会社はこれらのサービスに使用しているパスワードを追跡/保存/記録できますか？ページのコンテンツはどうですか？

繰り返しになりますが、私の会社のルールでは、個人のメールアカウントやインターネットバンキングサービスの使用を禁止していませんが、これらの重要な情報を彼らに知られたくないのです。彼らが私がそれらを使用していることを知っていても大丈夫ですが、彼らは私のパスワードにアクセスすべきではありません。

HTTPSが使用されている場合、それらを安全に使用できますか（私の会社はそのデータを保存できないことを知っています）。

PS私は本当にネットワークの人ではないので、これらがどのように機能するかについてはあまり知りません。したがって、RTFMの返信は行わないでください。

回答する前に：ブラウザーがサイトで不十分な暗号化を使用している、または誤ったID情報を提供していると警告する場合、エラーを読んで理解し、続行するかどうかをよく考えることが重要です。

短い回答：はい、信頼できるデバイスを使用している場合

長い答え：

誰かが別のコンピューター（あなたと銀行の間のどこか）からの接続を監視していて、HTTPSを使用していて、適切に強力なアルゴリズムで署名された証明書を使用している場合は、問題はありません。（彼らが何年もの間データを保存し、後でアルゴリズムが壊れた後でそれを読む場合を除いて-彼らはおそらくあなたの家に侵入してあなたのものを盗む方が良いでしょう;））。

おそらくあなたの銀行であれば、適切に強力な暗号を備えた署名付き証明書を使用している可能性があります。これを確認するには、ページのSSL情報を確認します。これは、ページ情報を見ると表示されるはずです。Firefox3.5でアドレスバーの左側にある青または緑の名前をクリックするか、ロックをクリックしてIE8のアドレスバーの右側。Firefoxでは、色付きの領域をクリックしてから[ 詳細情報 ] を選択すると、使用されている暗号化アルゴリズムも表示されます。

接続に使用しているデバイス（他のユーザーによって変更された可能性のある自分のものではないコンピューターなど）が信頼できない場合は、それが大きな懸念になります。今、あなたの職場はあなたの銀行情報を見るような違法なことを何もしないでしょう。ただし、システムが侵害された場合、SSLが損なわれる可能性があります。プロキシによって署名された証明書を受け入れるようにコンピュータが構成されている可能性があります（証明書または証明書のピン留めを検査すると、これが阻止されます）。ただし、監視はどこでも可能です。たとえば、キーロガーは、SSLを無効にして銀行の資格情報を取得する必要さえありません。SSLを使用すると、信頼できる2つのエンドポイント間の接続を信頼する必要はありませんが、エンドポイント自体が信頼できない場合、すべての賭けは無効になります。

いいえ、必ずしも必要ではありません。あなたの会社は、中間者として機能するプロキシを介して接続を送信する場合があります。つまり、すべてのHTTPSトラフィックがマシンからプロキシに送信され、そこで解読、分析、暗号化されてサーバーに送信されます。マシンはサーバーからのセキュリティ証明書を使用しませんが、代わりにプロキシが指定されたWebサイト用のセキュリティ証明書を生成して送信するため、実際には2つのHTTPS接続があります。ユーザーからプロキシへ、およびプロキシからサーバーへの接続です。

それを実現するためには、証明書を生成するための証明書サーバーが必要です。通常、ブラウザはここに異議を唱え、認証局が信頼されていないことを訴えますが、もちろん、グループポリシーなどによってオーバーライドできます。

ただし、これはアンチウイルスの概念の一部である場合や、法的な理由により、雇用主による不正行為であるとは限りません。

ブラウザーで証明書を確認します。特に、認証局を見てください。証明書がThawte、VeriSignなどの「実際の」CAによって発行されている場合、サーバーの証明書を使用しているので安全です。ただし、「YourCompany-AV」などによって発行された場合は、中間者プロキシが存在します。

一般的に言って安全です.https接続で銀行のウェブサイトにアクセスすると、ユーザー名やパスワードなどのすべてのデータが暗号化されるため、暗号化アルゴリズムを十分に理解していない限り、非常に短時間で解読することは困難です。ただし、キーロガーなどの他の攻撃もあります。知識がある場合は中間の人が機能します。機密情報を入力する前に、常に環境に注意してください。

会社所有のマシンを使用していて、会社のポリシーに同意している場合は、会社固有の問題が発生している可能性があります。詳細については知らないので、安全である必要があると思いますが、私はそれと警告のバランスを取る必要があります。技術的には可能ですが、「通常の」生活を送る場合、毎日直面していることの多くは、求めているシナリオよりも個人データにはるかに高いリスクをもたらす可能性があります。

注意すべきいくつかの基本的な事柄。この会社は、あなたがどのサイトにどのくらいの期間アクセスしているかをまだ認識している可能性があります。データは暗号化されている可能性がありますが、データの送信元と送信先のアドレスが公開されるようにルーティングする必要があります。

ブラウザのセキュリティ機能の利用に関する他の回答のアドバイスは良いです。作業用マシンの個人データに関連する会社のポリシーを確認するために少し時間がかかることを付け加えます。

銀行は通常、128ビット以上の暗号化を使用します。SSL証明書のプロパティを確認するか、テクニカルサポートに問い合わせてSSL証明書を確認してください。128未満の場合は、使用しないことをお勧めします。しかし、128以上であれば問題ないはずです。Ettercap、Wireshark、Shijack、肩に大きなチップがあるネットワーク上の誰かがあなたに対して何かを持っているのでない限り。ただし、それが心配な場合は、ネットバンキングを使用しないでください。次に、銀行情報を入手するために誰かが自宅でコンピュータをクラックするのを防ぐにはどうすればよいでしょうか。あなたはおそらく職場でより安全です。私のマネージャーは私のブラウザー履歴をほとんどチェックできませんでした-彼らがSSL証明書によって提供されるSHA1-RSA暗号化をクラックするのを見たいのですが。

一般的にネットワーク管理者の方が良いことをしているので、事実上あなたは安全です。技術的には、いいえ、あなたのデータは安全ではありません。どの分野にいるかは言いませんでしたが、たとえばコールセンターの業務には、非常に監視されているシステムがあります。キーストロークが記録され、画面が通常の操作の一部としてキャプチャされている場合、データの暗号化は問題になりません。管理者があなたの銀行口座情報を見る傾向があるのではないかと心配している場合は、銀行で仕事用のコンピュータを使用しないでください。

企業は多くの場合、ネットワーク分析にプロキシとファイアウォールを使用しますが、httpsトラフィックがそれらのいずれによっても傍受されないようにすることができます。これが、中間者攻撃を防ぐためのhttpsの基本原則です。

パケットを保存し、後でrsa暗号化を解除することは可能ですが、インターネットはパケット交換に基づいているため、攻撃者がTCPパケットを再構成するのに十分な実体を持っているとは考えられません。

あらゆることが可能です。