İnternette kimsenin doğru düzgün cevaplayamadığı bir sorum var. Şirketimin misafir WiFi'ına bağlı kişisel bir iPhone kullanırsam ve örneğin https://google.com/news
adresine göz atarsam, işverenim bunu görür mü / kaydeder mi?
https://google.com
(yani /haberler
gizlidir)Bazı yanıtlar HTTPS'nin URL'nin bir kısmını şifrelediğini söylerken, diğerleri URL'nin tamamının yönlendirici günlüğüne yakalanacağını söylüyor.
Bana cevap veren çoğu kişi Senaryo 1'in büyük olasılıkla olduğunu, yani "/" den sonraki URL detayının HTTPS bağlantısı nedeniyle görünmez kaldığını ve bu nedenle yönlendirici günlüğüne yakalanmadığını söylüyor. Diğerleri ise ağ yöneticisinin her şeyi görebileceğini ve kaydedebileceğini söylüyor (ki bu bana göre HTTPS'nin ana noktalarından birini ortadan kaldırıyor gibi görünüyor? Yine, bu kimsenin erişemediği kişisel bir IPhone.
Burada dikkate alınması gereken HTTP'den daha fazlası var...
WiFi doğası gereği inanılmaz derecede açık bir teknolojidir. Yakınlarınızda anteni ve radyosu olan herkes trafiği toplayabilir. WiFi ağının kendisi şifrelenebilir, ancak bunu aşmanın birçok yolu vardır. Eğer bir şirket ağına bağlanıyorsanız, yakınınızdaki diğer kişilerin de şifreye sahip olması muhtemeldir.
Unutmayın - ağ yöneticisi kendi ağından geçen tüm trafiği görebilir ve bunları yakalayıp arşivlemesini engelleyecek hiçbir şey yoktur. Bir "secure" oturumunda bir zayıflık keşfedilirse, toplanan herhangi bir veri tehlikeye atılabilir ve potansiyel olarak şifresi çözülebilir. Bilgi işlem gücü yeterince ilerlerse, brute-forcing düz metin verilerini elde etmek için uygun bir seçenek olabilir. Ortalama bir şirketin "on the wire" trafiğinin önemli hesaplarını kaydetmesi pek olası değildir.
Trafik, cihazınızın MAC adresi temel alınarak doğrudan telefonunuza bağlanabilir. Son zamanlarda "MAC Address Randomisation" sağlanmıştır... ancak bazı durumlarda bu, trafiği düzgün bir şekilde anonimleştirmek için yeterli değildir.
Standart bir telefon kurulumu için, DNS sorguları şebeke operatörü ve komşularınız tarafından kolayca görülebilir. Örneğin, telefonunuz google.com
ya da mail.google.com
için IP adresi sorabilir.
Mümkündür, ancak makul büyüklükte olmadıkça bir şirketin DNS sorgularını kaydetmesi pek olası değildir.
Ağ / internet üzerindeki başka bir sistemle iletişim kurmak, paketlerin uzak sistemin IP adresi kullanılarak uygun şekilde yönlendirilmesini gerektirir. Çoğu durumda bu, doğrudan iletişim kurduğunuz siteyi veya şirketi tanımlayacaktır (örneğin: Google sunucuları yalnızca Google hizmetlerini barındırır). Bununla birlikte, birçok küçük site paylaşımlı barındırma kullanır (yani: tek bir sunucuda birden fazla web sitesi), bu da hangi web sitesinde gezindiğinizi daha az belli eder.
Genellikle gerçek web trafiği SSL / HTTPS kullanılarak şifrelenir. Ancak, hala HTTPS desteğini zorunlu kılmayan veya hatta sağlamayan web siteleri olduğunu unutmayın, bu nedenle bu durumlarda tüm trafik "seen" olabilir.
HTTPS kullanan web siteleri için (yukarıdaki DNS bilgilerini göz ardı ederek), artık Sunucu Adı Gösterimi kullanarak tek bir sunucuda birden fazla alan adı barındırmak mümkündür. Bu, istemcinin hangi etki alanından bilgi istediğine bağlı olarak sunucunun el sıkışmaya doğru SSL sertifikasıyla yanıt vermesine izin verir. Bu durumda, ana bilgisayar adı hala el sıkışmanın bir parçası olarak düz metin olarak gönderilir ve bu nedenle görülebilir.
HTTPS'nin kullanıldığı durumda, ağ operatörünün trafiğinizin şifresini çözmesi için hala olasılıklar vardır. Birçok şirket, çalışan cihazlarına (dizüstü bilgisayarlar, telefonlar, vb...) bir sertifika yükleyerek bir proxy çalıştırır. Bu durumda bir "Man in the Middle" saldırısına karşı savunmasız olursunuz - işvereniniz tüm trafiğin şifresini çözebilir, proxy tipi hizmetler sunabilir (örneğin: içerik filtreleme, önbelleğe alma, vb...) ve ardından "correct" sertifikasını kullanarak isteğinizi hedef sunucuya iletebilir. Kişisel bir cihaz için bu pek olası değildir. Bu aynı zamanda DNS Sertifika Yetkilisi Yetkilendirmesi ile bir şekilde hafifletilir... operatör bunun için de DNS yanıtlarını bozmadığı sürece. Tarayıcıların DNS CAA yanıtlarını önbelleğe alıp almadığını bilmiyorum...
Özet olarak, şunu varsayalım:
google.com
).https://
).Hiçbir geçici çözümünüz olmadığını varsayarak sorunuzu yanıtlamak gerekirse... GenericCo'nun misafir kablosuz ağına bağlandıktan sonra bir tarayıcı açarsınız ve https://google.com/news adresine gitmeye çalışırsınız.
A) Bir DNS isteği, DNS sunucusuna IP adresinin ne olduğunu sorarak açık olarak gönderilir. DNS genellikle şifrelenmez, bu nedenle WireShark'ı olan meraklı bir sistem yöneticisi bunu kolayca görebilir. Bu görünür DNS isteği tüm alan adları ve alt alan adları için gerçekleşir, böylece mail.google.com ve google.com iki ayrı istek olarak görünür.
B) Bu IP adresine bir HTTPS bağlantı isteği gönderilir. El sıkışması gerçekleşir ve bilgisayarınız söz konusu sayfayı/haberleri indirmeye çalışır. Teorik olarak, bu noktada güvenli bir HTTPS bağlantınız vardır, bu nedenle bir meraklı için bunu görmek çok daha zordur.
Genel olarak, işvereninizin kendi ağında yaptığınız her şeyi görebileceğini varsayın. Sonuçta bu onların internet bağlantısıdır. VPN ve diğer cevaplarda gösterilecek diğer yöntemleri kullanarak bunu gizleyebilirsiniz. Ancak, işvereniniz dışında başka kişilerin de bunu görebileceğini unutmayın. Bir VPN kullanmak, yakındaki kişilerin yapabileceği gözetleme miktarını azaltacaktır, ancak bu durumda VPN sağlayıcısına güvenmeniz gerekir.
Bu sorunun basit cevabı, 1. senaryonuzun doğru olduğudur.
Bağlantı HTTPS'dir, URL'nin alan adı kısmından sonra girilenleri siz ve bağlandığınız diğer taraf dışında kimse göremez. İşvereniniz yalnızca aşağıdaki bilgileri bilir:
Bu, işvereninizin cihazınıza herhangi bir şey yüklemesine izin vermediğinizi varsayar. Ve işvereninizin bu bilgilerin bazılarını gerçekten toplamak için gerekli ekstra adımları attığını varsayar. Son olarak, evet, bu 5 madde, ağlarındaki telefonun kime ait olduğunu bile bilmeyebileceklerini gösteriyor.
Bu miktarda bilgi, işvereninizin telefonunuzun modeli, telefonunuzda yüklü uygulamalar ve internet davranışınız hakkında birçok şey çıkarmasına olanak tanır.
Bununla birlikte, işvereninizin WiFi'ını şirket politikasını ihlal edecek şeyler yapmak için kullanmamanız gerektiği burada açıkça belirtilmektedir. Yani, endişeleriniz varsa şirket WiFi'ından uzak durun.