請教https proxy 是否可以偵測 web password
 

私人架的 lighttpd web https server, 在公司網路連線，公司網路都是透過proxy，請問porxy有可能偵測到user account, password嗎?

HTTPS不是加密了嗎

當然可以。
所有的封包都經過它。
很方便執行中間人攻擊。

加密一開始確認雙邊確認密碼時，很容易找出金鑰。

https proxy 的中間人攻擊也不算簡單.
如果 client 確認看到的憑證是 server 那一端的那一個沒錯, 應該也看不到解密的內容.

不過.... 公司有可能會匯入自己可信任的根憑證在公司的電腦上.... 這時 client 不注意的話, 可能會誤認憑證是正常的... 那時 proxy server 就是什麼都看的到....

https 只是通道加密
如果他的帳號密碼本身經過加密
那就是內容加密
難道這種你也要解？

會去做HTTPS Proxy , Proxy本身的憑證當然也會是正式的 , 在此之下
只要是透過Proxy連線金融機構,當然可以看到client端的password !!

問題在於管理proxy 的主事者要不要看這一段資料罷了!!

既然公司的政策就是公司內部的PC連線都要透過Proxy , 那麼就是建議所有員工
不要用公司的資源去做私人的事務 , 這樣就絕對不會看到員工私人的帳號密碼!!

真的要連線金融機構處理私人事務,就用自己的手機網路連線的方式就好了!! :think: :think: :think:

我用如下指令可以看到webserver 憑證，看起來應該是有end to end加密

在中間 proxy 做監視
首先你要在 client 安插 proxy 憑證
如果 client 要在 google 登入帳號
第一他的瀏覽器的網誌列會整個紅色的
google 甚至會提示你的流量遭到監控
如果你執意要輸入密碼，你也只拿到經過加密的密碼
你根本解不了

至少我不會去挑戰公司的政策...

如果您認為有加密可以放心用就去用!! 出了問題就只能自行承擔.... :think: