公司监控员工上网行为,不是什么秘密,殊不知也能监控https
来源:安防百科 /
时间: 2024-05-31
公司监控员工上网行为,不是什么秘密。但是现在网络都是https请求,却也能被监控,而且可以监控到你在app上的所有行为。
我之前和it同事聊天,他说很多https的证书是可以被下载的,这样就意味着员工的所有上网行为等于是在裸奔。访问了哪些app,在app里做了什么事情,都是可以被拿到的。公司出于安全考虑才会监控,但目前却被乱用了。我一般除了办公电脑用公司的网,而且规规矩矩,只用于办公,个人手机都用自己手机网络。
我们一般认为https是非常安全的,但世界上是没有不透风的墙。简单说下https的原理。
https整个通信过程用了两种加密方式,相互配合使用。第一种是RSA非对称加密,安全性高,但是性能低,第二种对称加密,性能高,安全性低。过程如下图:
1,客户端访问某网站,把浏览器支持的加密算法发送给服务端,服务端验证这些算法是否支持,如果不支持就连接中断,如果支持就把服务端证书返回给浏览器,包括公钥信息
2,客户端验证证书有效性,比如是否过期等等
3,客户端生成随机数,用随机数加密握手信息,再用公钥加密随机数和握手信息,服务端解密获取随机数,再用随机数解密握手信息
4,服务端再用随机数加密握手信息,返回给客户端,客户端用随机数解密并验证收到的握手信息是否与之前传过去一致。
5,所有验证过程通过后就用对称加密方式进行加密,既安全又高效。
