Verhindert HTTPS auch, dass der mittlere Mann meinen Browserverlauf abgesehen von den besuchten Domänen verfolgt?

1014
anuj_io

Ich habe diesen Artikel gelesen, der besagt, dass Github in Russland blockiert wird, weil eine einzige umstrittene Seite, die darauf gehostet wird, aufgrund von HTTPS nicht blockiert werden kann.

Ich versuche also herauszufinden, ob dies bedeutet, dass mein lokaler sys-admin meinen Browserverlauf nicht verfolgen kann.

Obwohl der Name der Domäne für jeden in der Mitte sichtbar ist, werden die anderen Teile der angeforderten URI verschlüsselt, oder kann der ISP (oder wer auch immer in der Mitte ist) sehen, welche Ordner / Dateien in der angeforderten Domäne (oder sind sie) verschlüsselt)?

5
Mögliches Duplikat von [Wie viele Informationen kann mein ISP sehen?] (http://superuser.com/questions/231991/how-much-information-can-my-isp-see) Ƭᴇcʜιᴇ007 vor 9 Jahren 0
Meine Frage ist etwas anders, ich möchte wissen, ob der URI auch über HTTPS verschlüsselt wird oder nur die über URI erforderlichen Inhalte ausgetauscht werden. anuj_io vor 9 Jahren 0
Russland geht nur den einfachen Weg, um die Inhalte zu blockieren, die sie verbieten möchten. Wenn sie versuchten, mit einer einzigen URL zu blockieren, könnte das betreffende Projekt einfach eine Domäne zur github-Website umleiten und / oder ihren Projektnamen ändern, wodurch die URL anders wäre. Ramhound vor 9 Jahren 1
Ich sehe keinen Grund, warum der URI-Teil von URLs nicht verschlüsselt werden kann. Wenn GET-Anforderungen verschlüsselt werden können, verschlüsselt ein direkter Link-Treffer (der intern eine GET-Anforderung ist) den URI-Teil. anuj_io vor 9 Jahren 0
Großartig ! Stimmen Sie der Frage einfach zu, wenn Sie Ihre Antworten nicht rechtfertigen können. anuj_io vor 9 Jahren 0
@tea_totaler - Abstimmung ist anonym. Sie können unmöglich wissen, wer Ihre Frage abgelehnt hat. Es ist also ein bisschen dumm, einen Kommentar über die Ablehnung zu machen. Ramhound vor 9 Jahren 1
@ ^ Ich habe auf niemanden einzeln hingewiesen, das einzige, was ich sage, ist, dass die Person, die es abgelehnt hat, es rechtfertigen sollte. anuj_io vor 9 Jahren 0
Sie müssen es nicht, es ist aus einem bestimmten Grund anonym (ich war es übrigens nicht). Ƭᴇcʜιᴇ007 vor 9 Jahren 0
Ich bin damit einverstanden, dass sie nicht müssen, aber das bedeutet nicht, dass sie es nicht sollten. anuj_io vor 9 Jahren 0
Ich habe versucht, Ihre Frage für zukünftige Besucher ein wenig zu klären. Wenn Sie es nicht mögen, können Sie es gerne zurücksetzen. :) Ƭᴇcʜιᴇ007 vor 9 Jahren 0
Cool ! Danke für die Bearbeitung. anuj_io vor 9 Jahren 0
Beachten Sie, dass ein Administrator bei Abwesenheit eines Zertifikatsubstitutionsangriffs (MITM) alle Layer-3-Werte in Ihren Paketen beobachten und feststellen kann, welchen Server Sie kontaktieren. Sie können jedoch den Rest der URL nicht sehen, so dass sie wissen können, welchen Server Sie kontaktiert haben, nicht aber, was Sie dort gemacht haben. HTTP / HTTPS ist ein Layer-4-Protokoll. Ohne das cert zu ersetzen, können sie nicht alles sehen. Das heißt, sie steuern die Hardware zwischen Ihnen und dem Server, so dass Sie entweder Ihr Hostzertifikat oder das Zertifikat transparent ersetzen können, wenn die Schaltung erstellt wird. Frank Thomas vor 9 Jahren 1
Ich verstehe den Fall des Zurückverfolgens des Servers völlig, obwohl ich es nicht richtig setzen konnte, wenn der mittlere Teil den URI-Teil meiner HTTP-Anforderung verfolgen kann. anuj_io vor 9 Jahren 0

2 Antworten auf die Frage

6
davidgo

Ihr lokaler sys-admin kann Ihren Browserverlauf nachverfolgen, wenn er Sie dazu bringen kann, ein Zertifikat auf Ihrem Computer (oder seinem Computer) zu installieren. In diesem Fall können Sie Ihre Verbindung manuell verwalten.

Wenn Sie über ein eigenes Gerät verfügen und sicher sind, dass sie über kein Zertifikat verfügen, können Sie am besten ein Gefühl für die Websites erhalten, die Sie besuchen, indem Sie die IP-Adresse der Websites und das Verkehrsprofil (z. B. viele Datenverkehr könnte das Herunterladen von Videos implizieren), und IP-Adressen großer Websites werden normalerweise in umgekehrter Reihenfolge durchsucht. Sie können auch DNS-Einträge verwenden, um den angeforderten DNS zu finden, wenn Sie ihre DNS-Server verwenden, was wahrscheinlich ist.

Wenn der sysadmin keinen Zugriff auf Ihren Computer hat, um das cert oder die lokale Software zu installieren, kann er das Netzwerk nicht verwenden, um zu sehen, auf welcher Seite (dh Ordner) Sie sich auf der Site befinden, da diese verschlüsselt ist (Diese Informationen werden gesendet der Header Ihrer Anfrage, der nach der Aushandlung von SSL erfolgt).

Quelle: Ich bin ein Systemadministrator, der Sites mit HTTPS behandelt und von Zeit zu Zeit manuell HTTP / HTTPS-Anforderungen zur Prüfung von Eckfällen durchführt.

Ich habe deinen Punkt verstanden und danke für die Antwort. Nur eine kurze Klärung, das bedeutet, dass selbst mein ISP die URI nicht sehen kann, richtig? anuj_io vor 9 Jahren 0
Es gibt Angriffe auf ISP-Ebene auf HTTPs. Es wurde festgestellt, dass mehrere Internetdienstanbieter Geräte einsetzen, die einen laufenden HTTPS-Handshake erkennen. Sie proxy dann die Verbindung transparent, indem Sie Ihr Zertifikat durch ein eigenes Zertifikat ersetzen, an den Server senden und einen Handshake zurück an Ihr System senden, sodass der Tunnel geöffnet ist, während er durch sein Gerät geht. Die Site denkt, dass es Ihnen gefällt, aber es ist tatsächlich ein Handshake mit dem ISP und Sie denken, Sie sind mit dem Server Handshake, aber es ist tatsächlich der ISP, mit dem Sie sich verbinden. https://www.schneier.com/blog/archives/2013/09/new_nsa_leak_sh.html Frank Thomas vor 9 Jahren 0
Weitere Informationen finden Sie hier: http://www.sonicwall.com/downloads/SonicOS_Enhanced_5.6_DPI-SSL_Feature_Module.pdf Frank Thomas vor 9 Jahren 0
Richtig - vorausgesetzt, Sie ignorieren keine Zertifikatwarnungen, und Ihr Internetdienstanbieter kann den Datenverkehr nicht sehen. Die Antwort von @FrankThomas ist korrekt, lässt aber aus, dass, wenn Ihr ISP den Datenverkehr auf diese Weise abfängt, die gleiche Cert-Warnung angezeigt wird, es sei denn, sie haben es geschafft, Ihr Cert in Ihren Browser zu laden durch die Kompromittierung von CAs, aber Ihr ISP kann dies wahrscheinlich nicht tun. davidgo vor 9 Jahren 4
Im Prinzip kann die Größe der verschlüsselten Daten auch Informationen darüber enthalten, welche URLs Sie besuchen. Vereinfachtes Beispiel: Nehmen Sie an, der ISP weiß, dass auf der von Ihnen besuchten Website 1000 kleine Seiten und eine große herunterladbare Datei mit illegalen / subversiven / abweichenden Informationen gespeichert sind. Angenommen, Sie haben die Website für 10 Millionen Daten in 2 Sekunden besucht. Dann haben Sie * wahrscheinlich * gerade die große Datei heruntergeladen. Natürlich hat github sehr viele Dateien, auch wenn Russland technisch dafür gerüstet war, diese Technik zu verwenden (a), erhält es möglicherweise kein klares Signal (b), wenn die bereits heruntergeladene Datei identifiziert wird. Steve Jessop vor 9 Jahren 0
Ich weiß nicht, wie üblich praktische Angriffe mit dieser Art von HTTPS-Verkehr sind. Ich erinnere mich vage daran, dass es gegen verschlüsselte VBR-Streaming-Audios verwendet wurde, zumindest im Labor. Stellt sich heraus, dass einige Phoneme besser komprimiert sind als andere, so ist die Bitrate im besten Fall (für den Angreifer) nicht zu weit von einer reinen Substitutions-Chiffre für den gesprochenen Text entfernt! Steve Jessop vor 9 Jahren 0
@davidgo Die NSA hat auf den meisten Computern ohnehin Stammzertifikate installiert, sie müssten keine andere Zertifizierungsstelle gefährden. Thebluefish vor 9 Jahren 0
@ Thebluefish Kannst du deine Beweise dafür empfehlen? Ich akzeptiere, dass sie fast sicher CAs kompromittiert haben (wahrscheinlich sogar bis zu dem Punkt, in dem sie verlangen können, dass sie Schlüssel generieren und nicht darüber reden), aber ich habe keine Beweise dafür gesehen, dass die NSA tatsächlich eine CA besitzt. davidgo vor 9 Jahren 0
2
Arthur

Also bedeutet es, dass auch mein lokaler sys-admin meinen Browserverlauf nicht verfolgen kann?

Nein, nicht unbedingt. Ein Systemadministrator kann einen mittleren Angriff durchführen, wenn er ein benutzerdefiniertes Zertifikat auf dem Clientcomputer ablegt.

Wenn Sie auf das Sperrsymbol in der Adressleiste einer sicheren Site zu Hause klicken, wird angegeben, wer der Zertifikatsaussteller ist und was der private Schlüssel ist. Wenn Sie die gleiche Aktion bei der Arbeit ausführen und die gleichen Informationen anzeigen, sind Sie wahrscheinlich sicher. Wenn dies nicht der Fall ist, ist dies eine riesige rote Flagge, die möglicherweise jemand Ihren Verkehr abfängt.

Wie Sie gesagt haben, wissen sie, welche Websites Sie wegen DNS besuchen - nur nicht, was übertragen wird.

BEARBEITEN: Um zu klären, wissen Sie aufgrund von DNS, welche SERVERS Sie besuchen, aber nicht die gesamte URI.

Ich möchte Ihnen so gerne glauben, aber gibt es irgendwelche Online-Zitate, die dasselbe bestätigen? anuj_io vor 9 Jahren 0
Entschuldige Nein. Ich habe das schon zu rein experimentellen Zwecken gemacht, also weiß ich, dass es möglich ist. Der beste Artikel wäre Wikipedia-Mann in den mittleren Angriffen. Arthur vor 9 Jahren 0
Ich habe es schon so oft gelesen, aber nirgends spricht es von der URI. :( anuj_io vor 9 Jahren 0
Schnappen Sie sich Wireshark, starten Sie eine Aufnahme und beobachten Sie den Vorgang zwischen einer Standardverbindung http: // und einer https: // -Verbindung. Ich weiß, dass dies keine super hilfreiche Antwort ist, aber es macht Spaß, zuzusehen, und zumindest auf diese Weise können Sie mit eigenen Augen bestätigen, was ich sage. Außerdem ist Wireshark ein nützliches Werkzeug. Arthur vor 9 Jahren 4
Hi5 Mann! Davon rede ich. Ich werde Wireshark auf jeden Fall ausprobieren. anuj_io vor 9 Jahren 0

Verwandte Probleme