Se visito un sito https da un computer abilitato a Family Safety e qualcuno cede la connessione, riceverò una notifica?

3

Durante la lettura di Family Safety e HTTPS :

Since HTTPS is designed to prevent snooping, Microsoft Family Safety would be unable to monitor the encrypted traffic unless it performs what is essentially a man-in-the-middle attack.

To consent to such snooping, and suppress all "Untrusted Certificate" warnings arising from this scheme, you need to instruct Firefox to trust Microsoft's SSL certificate that is used for re-encrypting.

sono sorte le seguenti domande:

Mi sono chiesto se Microsoft Family Safety sarebbe un rischio per la sicurezza. Se faccio una connessione al collegamento su un computer abilitato per la sicurezza familiare e il certificato google è borked (perché qualcuno sta entrando con un certificato non valido, o perché google ha dimenticato di rinnovarlo), riceverò una notifica? O vedrò solo che la connessione a Family Safety è buona?

Quindi il banking online da un account abilitato per Family Safety potrebbe essere un grosso rischio per la sicurezza? (Non ho visto questo menzionato nelle pubblicità Microsoft)

Inoltre, per riattivare la crittografia, Family Safety avrebbe bisogno di avere la chiave privata per la certificazione sul mio personal computer e su sei miliardi di altri personal computer, e IE si fida di tale certificato. Quindi un utente malintenzionato potrebbe utilizzare questa chiave privata ei suoi server sarebbero certificati server Microsoft e considerati affidabili da IE per impostazione predefinita. Corretto?

    
posta Alexander 19.12.2014 - 08:16
fonte

2 risposte

3

Ho giocato con Family Safety su Windows 8.1, e da quello che posso dire, sembra abbastanza intelligente da controllare la validità del certificato originale prima che procede a sostituirlo con un Microsoft certificato.

Dallo screenshot qui sotto, puoi dire che quando ho visitato Google, il vero certificato di Google è stato sostituito dal certificato Microsoft Family Safety:

Tuttavia,sevisitounsitoconuncertificatononvalido,vienecomunquevisualizzatounavviso:

Quindi è abbastanza chiaro che se il controllo del certificato fallisce, Family Safety NON sostituirà il certificato e permetterà invece di visualizzare l'avviso. Ho provato questo sia in Internet Explorer e Google Chrome e entrambi mostrano lo stesso comportamento.

Furthermore, to re-encrypt, Family Safety would need to have the private key for the cert on my personal computer, and on six billion other personal computers, and IE trusts that cert. So a malicious user could use this private key and his servers would be certified Microsoft servers and trusted by IE by default. Correct?

Il certificato di sicurezza della famiglia non viene utilizzato per la verifica del sito Web, quindi non è necessario installare lo stesso su tutti i computer del mondo. Immagino che sia generato casualmente e aggiunto come affidabile quando abiliti Family Safety (o almeno quando il computer è installato). In teoria, se qualcuno ruba la chiave per il certificato sul tuo particolare computer, potrebbe essere in grado di man-in-the-middle YOU senza generare avvisi, ma nessun altro.

    
risposta data 19.12.2014 - 23:25
fonte
0

Un altro punto da notare è che siccome la sicurezza familiare utilizza la piattaforma di filtraggio di Windows, intercetta i pacchetti e li esamina, una richiesta di connessione SSL / TLS contiene il nome del server in testo chiaro, quindi per esempio (come sopra) "revoked.grc .com "sarà visibile a qualsiasi snooping, ma il resto della richiesta non sarà.

    
risposta data 07.07.2016 - 21:39
fonte

Leggi altre domande sui tag