web-dev-qa-db-ja.com

大学のネットワーク管理者は、Googleで検索した内容を見ることができますか?

これを重複としてマークする前に、私は確かに同様の質問をここで見ましたが、それらは私が求めている直接的な答えを提供していません。

ここにいくつかの詳細があります:

  1. SSLを使用しているため、Googleを例として使用しました。

  2. 自分のデバイスをwifiネットワークで使用しているので、システムに偽のCAがインストールされる可能性はありませんか?

  3. 南京錠のアイコンは確かにアクティブで、Googleにアクセスすると正しい証明書が表示されます。

それで、彼らが私のGoogle検索を見ることができないことを確認できますか?

6
ticktock

はい、1〜3の場合、ブラウザとサーバー間の接続がエンドツーエンドで暗号化されていること、およびサードパーティが暗号化されていないメッセージを傍受できないことを確認できます(他の方法で暗号化キーを取得する必要があります)。

5
techraf

ほとんどの場合、ネットワーク管理者は、たとえできたとしても、トラフィックを監視しないことに注意してください。したがって、以下では、管理者が本当に望んでいる場合に理論的にトラフィックを監視する方法の概要のみを示します。

自分のデバイスをwifiネットワークで使用しているので、システムに偽のCAがインストールされる可能性はありませんか?

インストール済みのCA証明書の種類と、これらを使用して何ができるかを完全に認識していない場合があります。

  • エンタープライズWifiのインストールでは、ユーザー名とパスワードを使用してWifiに対して承認し、証明書を検証してアクセスポイントを認証することがよくあります。このためには、適切なCAをシステムにインストールする必要があります。多くの設定では、このCAの使用はアクセスポイントの認証に限定されていませんが、システムにグローバルにインストールされているため、SSLインターセプトにも使用できます。このようなWifiのインストールは、大学などでもよく見られます eduroam
  • いくつかの大学には、ブラウザが信頼するCAに基づく独自の中間CAがあります。これは、ルート証明書がDeutsche Telekom Root ...であるドイツでは少なくとも非常に一般的であり、次のレベルはDFN-Verein ...次に大学CAが来て、大学が所有するシステムの証明書を発行します。

最後のケースでは、中間CAのいずれかが所有していない場合でも、任意のサーバーに対して証明書を発行する可能性があります。この場合、証明書のピン留めが使用されると、このような誤用が検出されます。これは、この場合、証明書の予期される公開鍵が、発行された証明書で見られる公開鍵と一致しないためです。 googleのようないくつかの重要なサイトは、少なくともChromeおよびFirefox内に事前に固定されているため、これらの証明書がこのように偽装されている場合は検出されます。

ただし、最初のケースでは、CAが信頼されたルートCAとして明示的にインポートされ、SSL傍受を正式に許可されているため、ピン留めチェックが無効になる場合があります。これは、ファイアウォールやウイルス対策で行われているようなセキュリティ上の理由からSSLインターセプトの場合に意味がありますが、おそらくWifiアクセスポイントの認証に使用されるCAには当てはまりません。この場合、信頼できるルート証明書まで、ブラウザーで証明書チェーン全体を検証する必要があるため、このようなMITMを検出するのははるかに困難です。

SSLを使用しているため、Googleを例にとります。 ... Googleにアクセスすると、南京錠のアイコンが実際にアクティブになり、正しい証明書が表示されます。

これは、「正しい」証明書と見なすものによって異なります。証明書が正しいサイトに対して発行されたことのみを確認する場合、これでは不十分な場合があります。代わりに、ルートまでの完全なチェーンをチェックした場合、または証明書のフィンガープリントを既知の良好なフィンガープリントと照合した場合、少なくともこの特定のサイトではおそらく安全です。しかし、グーグルのような特定のサイトが傍受されない場合でも、そのような傍受は選択的に実行できるため、他のすべてのサイトも傍受されないわけではありません。

それで、彼らが私のGoogle検索を見ることができないことを確認できますか?

SSL接続をインターセプトせず、どのような検索を行ったかを直接確認できない場合でも、訪問したサイト(少なくともhttpsを使用した場合でもドメイン)を確認し、その時点で、これから推測することができます。探している。また、一部の検索エンジン(Googleではありません)は、検索結果をクリックすると、元の検索文字列をHTTPリクエストのリファラーに挿入します。これにより、ターゲットサイトは検索結果を見ることができます。また、ターゲットサイトへのリクエストがhttpsで行われていないか、SSLインターセプトが行われている場合、理論上、大学はこのHTTPリクエストを傍受し、リファラーを抽出して、元の検索クエリを取得できます。

3
Steffen Ullrich