Il titolo dice tutto, davvero. Sono Alice e voglio accedere all'interfaccia web di Gmail tramite il mio browser. Ike, il fornitore di servizi Internet, e Adam, l'amministratore di rete locale, vorrebbero sapere qual è il mio indirizzo email (username) Gmail. C'è un modo immaginabile in cui le cose possano accadere in modo che uno di loro possa impararlo?
Per il tuo utente domestico medio, servizi come GMail (che vengono eseguiti su TLS) non perderanno informazioni come il nome utente per l'ISP o l'amministratore di rete.
Se stai utilizzando una macchina che viene amministrata anche dall'amministratore della LAN (ad es. un computer di lavoro collegato a un dominio gestito dalla società), devi presumere che possano leggere qualsiasi cosa tu faccia su di essa. Potrebbero avere un software per registrare la tua attività (navigazione e / o sequenze di tasti), potrebbero aver installato certificati SSL aggiuntivi che consentono loro di MITM la tua connessione a GMail (o qualsiasi altro sito).
Se ritieni che il tuo computer non sia stato manomesso e non sia sotto il controllo di qualcuno di cui non ti fidi (ad esempio, l'amministratore della LAN non controlla il tuo computer), puoi collegarti a GMail tramite https. (A questo punto, l'amministratore della LAN è equivalente a un utente malintenzionato su Internet.) Assicurati di connetterti al link con un certificato valido e allora tutto il tuo traffico tra il tuo computer e i server GMail è crittografato. Questo includerebbe tutte le informazioni sul tuo account, incluso il nome utente con cui hai effettuato l'accesso.
Per completare le risposte di David e @ Steve:
Se l'attaccante ("Adam", nel tuo caso) ha accesso amministrativo alla tua macchina, allora può imparare tutti i tuoi segreti. L'installazione di una CA radice aggiuntiva, sotto il suo controllo, per eseguire routine MitM intercettazione sulle connessioni SSL è un popolare strumento per gli amministratori di sistema onesto (ma ficcanaso): si tratta di un'installazione unica che non sarà compromessa dagli aggiornamenti software e che non incorrerà in problemi di compatibilità con altri software come l'antivirus. Tuttavia, un sysadmin più nobile che vuole che la sua spionaggio rimanga discreto ha molte altre opzioni, come l'installazione di keylogger, strumenti di cattura dello schermo e in generale il saccheggio dei dati direttamente dalla RAM della macchina.
Se l'attaccante non non ha accesso alle viscere della tua macchina, allora dovrebbe essere tenuto fuori dagli scambi SSL. Sarà ancora in grado di notare quando ti connetti a Gmail e può osservare la dimensione esatta degli elementi di dati scambiati con Gmail. Probabilmente può calcolare la lunghezza (in caratteri) del tuo indirizzo Gmail.
Come osserva @Steve, un indirizzo Gmail non è progettato per essere un segreto e si diffonderà in molti punti. In ogni caso, come indirizzo email , è necessariamente condiviso con altre persone (chi invia email a te), e quindi non può essere considerato veramente segreto.
Se usi Google+ (indicizzato dal tuo indirizzo email), il sysadmin malvagio noterà la tua attività e potrebbe correlarlo con attività visibili su alcuni account Google+ candidati. Dopo tutto, se ti sta cercando, allora è interessato in te, e potrebbe anche mostrare un po 'di dedizione e tracciarti con competenza.
Come dice David, il provider della tua rete di solito non può vedere i dati passati attraverso le connessioni https.
Tuttavia, il tuo indirizzo Gmail non viene necessariamente passato solo tramite connessioni https. Ad esempio, se accedi a StackExchange utilizzando il tuo account Gmail segreto e visita la versione http (non https) della pagina del tuo profilo utente, il tuo indirizzo Gmail viene inviato a te non protetto nei contenuti di quella pagina. Il provider della tua connessione di rete potrebbe quindi vederlo. Lo stesso potrebbe valere per altri siti che utilizzano https per l'accesso OAuth ma non per tutto il traffico.
Inoltre, come utente49372 sottolinea , se Adam è disposto a montare un uomo in-the-action attivo attacco intermedio, e se accedi a StackExchange usando il tuo indirizzo Gmail segreto, potrebbe iniettare cose nel tuo normale traffico http che reindirizzerebbe il tuo browser alla versione http della tua pagina profilo StackExchange.
Quindi sì, ci sono modi concepibili in cui Adam o Ike potrebbero impararlo anche supponendo che non possano interferire con la tua macchina o altrimenti superare la sicurezza fornita da https.
Utilizzando l'idea di Steve Jessops, il tuo provider potrebbe inserire iframe o reindirizzamenti nel tuo normale traffico http, che caricherà il tuo profilo su stackexchange non protetto con http o qualsiasi altra pagina che faccia lo stesso.
L'unica risposta che non ho visto qui è quella relativa agli ambienti aziendali, come il mio, in cui le macchine aziendali accedono alla rete attraverso un filtro / proxy, che consente agli "amministratori" di ispezionare il traffico SSL, costringendo le macchine client a fidarsi del certificato SSL di webfilter / webproxy. Il webfilter / webproxy impersona quindi la macchina client a Google (oa qualsiasi altro servizio online), scarica il contenuto e quindi lo restituisce al computer client impersonando Google (o qualsiasi altro servizio online) al client.
Questo è, in effetti, un attacco MITM, ma è abbastanza comune che penso menzioni, in particolare.
Se accedi alla rete attraverso un proxy o un filtro che è configurato per ispezionare il traffico SSL, quindi ai tuoi amministratori , qualsiasi cosa fatta su https è visualizzabile come se fosse stata inviata in testo semplice.