Estou seguro do software de monitoramento de rede se o HTTPS for usado?

Entrarei na minha conta bancária e nas minhas contas de email pessoais no trabalho. Não é proibido no trabalho, mas eu simplesmente não quero que eles salvem / registrem uma cópia do que eu faço com esses serviços. Especialmente minhas senhas.

Se o serviço usar uma conexão HTTPS, minha empresa poderá rastrear / salvar / registrar minhas senhas que eu uso para esses serviços? e o conteúdo das páginas?

Novamente, as regras da minha empresa não proíbem o uso da minha conta de e-mail pessoal ou dos serviços bancários na Internet, mas não quero que eles conheçam nenhuma informação importante sobre eles. Tudo bem se eles soubessem que eu os estou usando, mas não deveriam ter acesso às minhas senhas.

Posso usá-los com segurança (sabendo que minha empresa não pode salvar nenhum desses dados) se o HTTPS for usado?

PS: Eu realmente não sou um cara de rede e não sei muito sobre como essas coisas funcionam. Portanto, não dê respostas em RTFM.

Antes de responder: se um navegador avisar que um site está usando criptografia ruim ou fornecendo informações de identidade incorretas, é importante ler o erro, entendê-lo e pensar bem se você deseja continuar.

Resposta curta: Sim, se você estiver usando um dispositivo confiável

Resposta longa:

Se alguém estiver monitorando sua conexão a partir de outro computador (em algum lugar entre você e seu banco) e você estiver usando HTTPS, e eles estiverem usando certificados assinados com um algoritmo adequadamente forte, você estará limpo. (A menos que eles salvem os dados por anos e depois os leiam após a quebra do algoritmo - mas é melhor invadir sua casa e roubar suas coisas;)).

As chances são de que, se for o seu banco, eles estão usando certificados assinados com uma cifra adequadamente forte. Você pode verificar isso olhando as informações SSL da página, que devem ser exibidas se você olhar as informações da página, clique no nome Azul ou Verde à esquerda na barra de endereços do Firefox 3.5 ou clique no cadeado para à direita na barra de endereços no IE8. O Firefox também exibirá o algoritmo de criptografia usado se você selecionar Mais informações depois de clicar na área colorida.

Se você não confia no dispositivo que está usando para se conectar (como um computador que não é o seu e que poderia ter sido modificado por outras pessoas), é uma preocupação maior. Agora, é provável que seu local de trabalho não faça nada ilegal, como analisar suas informações bancárias; mas é possível que o SSL seja prejudicado se o seu sistema estiver comprometido. Pode ser que o seu computador esteja configurado para aceitar certificados assinados por um proxy (a inspeção do certificado ou a fixação do certificado impediriam isso). No entanto, a vigilância pode estar em qualquer lugar - um keylogger nem precisaria derrotar o SSL para capturar suas credenciais bancárias, por exemplo. O SSL faz com que você não precise confiar na conexão entre dois pontos de extremidade confiáveis, mas se o próprio ponto de extremidade não for confiável, todas as apostas serão desativadas.

Não, não necessariamente. Sua empresa pode enviar sua conexão por meio de um proxy que atua como um intermediário. Ou seja: Todo o tráfego HTTPS vai da sua máquina para o proxy, é descriptografado, analisado, criptografado e enviado ao servidor. Sua máquina não usará o certificado de segurança do servidor, mas o proxy gerará um para o site fornecido e o enviará para você, para que você realmente tenha duas conexões HTTPS: de você para o proxy e do proxy para o servidor.

Para fazer isso acontecer, a empresa precisa ter um servidor de certificação para gerar um certificado. Normalmente, o navegador se opõe aqui e reclama que a autoridade de certificação não é confiável, mas é claro que isso pode ser substituído por políticas de grupo e similares.

No entanto, isso não é necessariamente um jogo sujo do empregador, pois isso pode fazer parte de um conceito de antivírus ou devido a razões legais.

No seu navegador, observe o certificado. Especialmente, observe a autoridade de certificação. Se o certificado for emitido por uma CA "real" como Thawte, VeriSign etc., isso significa que você está usando o certificado do servidor e deve estar seguro. No entanto, se for emitido por algo como "YourCompany-AV" ou algo semelhante, você terá um proxy intermediário.

Em geral, você está seguro. Como quando você visita o site do banco por meio da conexão https, todos os dados, como nome de usuário e senha, são criptografados, é difícil descriptografá-lo em um curto espaço de tempo, a menos que conheçam muito bem o algoritmo de criptografia . No entanto, existem outros ataques, como o key logger, e o homem do meio funcionará se tiver conhecimento. Sempre preste atenção ao ambiente antes de inserir as informações confidenciais.

Se você estiver usando uma máquina de propriedade da empresa e tiver concordado com as políticas da empresa, poderá haver problemas específicos da sua empresa. Sem saber mais detalhes, eu diria que você deveria estar seguro, mas tenho que equilibrar isso com uma ressalva. Tecnicamente, é possível, mas se você levar uma vida "normal", muitas coisas que você enfrenta todos os dias apresentam um risco muito mais provável para seus dados pessoais do que o cenário que você está perguntando.

Algumas coisas básicas para estar ciente. A empresa ainda pode estar ciente de quais sites você está visitando e por quanto tempo. Os dados podem ser criptografados, mas ainda precisam ser roteados para que o endereço do qual os dados vão e para seja exposto.

O conselho em outras respostas sobre como tirar proveito de qualquer recurso de segurança do seu navegador é bom. Acrescentarei que você deve reservar um momento para revisar as políticas de sua empresa relacionadas a dados pessoais em máquinas de trabalho.

Os bancos geralmente usam uma criptografia de 128 bits ou superior. Verifique as propriedades do certificado SSL ou peça a um de seu suporte técnico para descobrir o que é. Se tiver menos de 128 anos, sugiro não usá-lo. Mas se tiver 128 anos ou mais, você deve ficar bem. A menos que alguém na rede com Ettercap, Wireshark, Shijack e um chip massivo no ombro tenham algo contra você. Se você está preocupado com isso, no entanto, simplesmente não use o net banking no trabalho. Por outro lado, o que impede alguém de quebrar seu computador em casa para obter suas informações bancárias? Você provavelmente está mais seguro no trabalho. Meus gerentes mal conseguiam verificar o histórico do meu navegador - gostaria de vê-los quebrar uma criptografia SHA1-RSA fornecida por um certificado SSL.

Efetivamente, você está seguro simplesmente porque geralmente os administradores de rede têm coisas melhores a fazer. Tecnicamente, não, seus dados não são seguros. Você não disse em que campo estava, mas o trabalho de call center, por exemplo, terá sistemas extremamente monitorados. A criptografia de dados não importa se as teclas estão sendo registradas e a tela capturada como parte da operação normal. Se você está preocupado com o fato de os administradores estarem inclinados a consultar as informações da sua conta bancária, NÃO use o computador do trabalho para realizar serviços bancários.

As empresas costumam usar proxies e firewalls para análise de rede, mas você pode ter certeza de que o tráfego https não pode ser detectado por nenhum deles. Esse é o princípio básico do https, para impedir um ataque do tipo intermediário.

É possível salvar pacotes e interromper a criptografia rsa posteriormente, embora, como a Internet se baseie na troca de pacotes, é improvável que qualquer invasor tenha substância suficiente para reconstituir pacotes TCP.

Tudo e qualquer coisa é possível.