私の質問は、Webブラウザーでキーボードから入力するテキストについてです。 WebサイトにHTTPSが設定されている場合、ブラウザーからWebサイトへの接続は安全/暗号化されていると理解していますが、ローカルコンピューターのキーボードで入力したテキストはどうなりますか?
たとえば、インターネットカフェでChrome=ウィンドウを開いて安全なサイト(HTTPS)にアクセスした場合、キーボードで入力したテキストはキーボードからブラウザに安全ですか?ローカルコンピューター上の主要なログ記録ソフトウェアがテキストにアクセスしますか?
私の懸念は、公共のコンピューターで自分の電子メールアカウント(またはその他のプライベートアカウント)にログインすることです。入力したパスワードを傍受できますか?もしそうなら、公共のコンピューターのユーザーがこのシナリオで自分のパスワードのプライバシーを確保する方法はありますか?
いいえ、データはローカルコンピューターのキーロガーから安全ではありません。公平に言うと、ここで言うことはこれ以上ありません。キーロガーは、入力されたキーストロークを取得して保存します。 tls(https)暗号化は、キーボードからのドライバーがそれらのキーストロークを「ロガーを介して」ブラウザーに「送信」した「後に」行われます。
暗号化が使用されていて、コンピューターに多くの種類のスパイウェアが存在しない場合でも、コンピューターとサイトの間の接続には、コンピューターをだまして暗号化を使用していると思わせるコンピューターが存在する可能性があります。そうではありません。
良い質問。はい、公共のキオスクでは、クレデンシャルを取得するリスクがあります。キーロギングソフトウェアをバイパスすることは何も考えられません(VPNはMiTMの問題を修正します)。注意してください。
HTTPSでは、信頼できないコンピューターでのユーザー入力を完全に保護できない可能性があります。コンピューターにキーロガーソフトウェアがインストールされている可能性があります。キーボードは、あなたをキーログするようにプログラムされたファームウェアを持つことができます。コンピュータとキーボードの記録キープレスの間にハードウェアデバイスが存在する可能性があります。画面記録ソフトウェアが実行されている可能性があります。キーボードを使用している間、ビデオカメラがキーボードに向けられている可能性があります。コンピューターは、すべてのHTTPおよびHTTPS接続の中間者として機能するネットワークプロキシを完全に信頼するように構成されている場合があります。
他の回答で説明されているように、HTTPSはコンピューター(ブラウザー)とリモートサーバー間の通信のtransmission部分のみを保護します。ユーザー(人間)とブラウザの間のすべてが攻撃者に対して脆弱です。
キーボードがブラウザー間で保護されている場合でも、カメラ(コンピューターの外側)がパスワードを入力したビデオをキャプチャする可能性があります。これは、リモートでHTTPSとは何の関係もありません。
アクションは言葉よりも雄弁です。
ずっと前の15歳のとき、ほとんどすべてのログを記録できるシンプルなキーロガーを作成しました。それにもかかわらず、HTTPSページに入力されたパスワードを含め、多くのパスワードを盗みました。
リンク:前述のキーロガープログラムの My GitHub repo 。
回避策:キーロギングソフトウェアをバイパスするには、画面上にキーボードを描画し、マウスまたはトラックボールを使用してそのキーボードのキーをクリックするようにユーザーに要求できます(データを記録するのは非常に困難です)。もちろん、これはユーザーにとってうんざりする可能性があるので、パスワードや小さなテキストを入力する場合にのみ使用することもできます。
キーボードで入力したものはすべて、オペレーティングシステムの一部であるソフトウェアによって処理されます。それはカーネル自体かもしれません、それはモジュールかドライバーです。このソフトウェアはキーストロークをデコードし、アプリケーション(この場合はブラウザ)に配信します。
多くのオペレーティングシステムは、このプロセスに一部のサードパーティソフトウェアを「挿入」するAPIを提供します。もちろん、最新のOSでは誰もがそれを行うことはできません。適切な権限を持っている必要があります。そうしないと、同じマシンで作業している他のユーザーがクリックしたキーを読み取ることができません。
しかし、十分な権限を持つ誰かがそのようなソフトウェアをインストールした場合、それはあなたのキーにアクセスできるかもしれません。さらに悪いことに、OSにバグがある場合、ハッカーはこのチェックを「回避」して、そのようなソフトウェアをインストールする可能性があります。その一例がキーロガーです。文字通りすべてのキーストロークを記録します。
公共のコンピュータでは、このOSをインストールしたのはあなたではないため、キーロガーがインストールされていないことは確認できません。アカウントには管理者権限がないため、このコンピュータで実行されているものを確認することもできません。
2フェーズ認証を使用します。これを使用すると、サーバーからコード付きのテキストメッセージが送信されるため、携帯電話にアクセスできる場合にのみメールにアクセスできます。
パスワードのみの認証は、公共のコンピューターでは安全ではありません。
一部のマルウェア対策ソリューションには、カーネルモードドライバーでキーボード入力を保護する機能がありますが、それが壊れないとは思わない:マルウェアがカーネルモードで独自のコードを実行できた場合、AVドライバーはデータを保護できず、カーネルモードのすべてが等しくなります。特権。