Supponendo che non ci sia MITM, la comunicazione di Gmail è sicura al 100% e privata?

Question

Supponendo che non ci sia MITM, la comunicazione di Gmail è sicura al 100% e privata?

#1 da (4 voti)

1

A volte devo usare il mio account Gmail personale dalla workstation della mia azienda, dove so per certo che stanno usando firewall (come quelli di Palo Alto) sensibili ai contenuti e potenzialmente altre cose brutte come i proxy trasparenti.

Supponendo che:

i certificati Gmail che ho installato nel mio browser sono autentici, perché ...
l'immagine del browser è autentica, perché ...
gli amministratori della mia azienda non si impegnano in alcun dirottamento DNS per eseguire MITM silenziosi tra me e veri server Gmail,

Quindi:

Cose come posta elettronica, elenco dei destinatari, date di invio / ricezione, ecc. possono essere lette da terze parti lungo la strada?

(La mia comprensione è che il protocollo https garantisce il 100% di privacy o segretezza da qualsiasi intercettatore ma non sono completamente aggiornato sullo stato dell'arte attuale in Computer Security.)

dns firewalls tls man-in-the-middle

posta Harry 06.07.2013 - 13:26

fonte

1 risposta

Leggi altre domande sui tag dns firewalls tls man-in-the-middle

È un backup completo il più veloce o il più lungo in fase di ripristino [chiuso] La doppia password di controllo è un modo fattibile per proteggersi da accessi non autorizzati?

score 4 · Accepted Answer

Can things like the email Subject, the Recipient list, send/receive dates, etc be read by any 3rd party along the way?

No , a meno che tu non sia stato obbligato a installare alcuni certificati di terze parti sul tuo computer. Alcune aziende non ti consentono di utilizzare Internet a meno che tu non autorizzi uno dei loro certificati (e tutto il traffico https sia decodificato, reencritto e inviato insieme). In tal caso, possono leggere tutto ciò che puoi (e contaminare anche i dati).

Un'altra cosa che è possibile è che hai aggiunto un certificato dannoso alla tua lista di eccezioni senza sapere cosa stava succedendo. Ciò accade: l'utente visita il sito Web, l'utente riceve un errore ssl, l'utente aggiunge un'eccezione. Se quel cert era un * cert o qualcosa del genere ¹, allora sei nei guai. Ovviamente, puoi facilmente controllarlo nell'elenco dei certificati del tuo browser.

Tuttavia, poiché hai esplicitamente menzionato che il tuo elenco di certificati è incontaminato e non c'è nessun MITM attivo, sono esclusi tutti e due i precedenti.

A meno che, naturalmente, Google stia davvero lavorando con PRISM; -)

^{1. Non sono del tutto sicuro se i browser accettano ancora * certs (le CA non li distribuiscono però). Firefox sembra ancora consentirglielo. In ogni caso, un attacco simile può essere fatto facilmente con i certificati a più domini : Posso utilizzare un certificato non firmato su manish.com che funzioni per manish.com,*.google.com . Qualsiasi visitatore che autorizzi il mio cert sarà MITM-capable.}