Se sto utilizzando un proxy SSL, il proprietario di quel server può decodificare e leggere i miei pacchetti quando sono connesso a un sito Web HTTPS? (Password ed ecc.)

Sì, potrebbero. L'attacco è di media sofisticazione e richiede, inosservato, che in qualche modo abbia installato un certificato di root valido come affidabile nel computer (e / o nel browser).

Una volta terminato, la richiesta per la pagina dell'indice del sito web verrebbe inviata tramite SSL CONNECT e continuerà senza intercettazione. Saresti connesso al sito web di destinazione (come non ha affatto un proxy , motivo per cui un proxy SSL non decrittografato non ha senso a meno che tu non stia semplicemente mascherando il tuo IP) e la pagina verrebbe firmata con il certificato autentico appropriato. Quindi vedresti il simbolo del lucchetto chiuso corretto sul browser e così via e così via.

Quindi quella pagina inizierà a caricare risorse javascript, immagini e CSS. E possibilmente iniziare a fare chiamate AJAX. Tutte quelle chiamate potrebbero essere intercettate dal proxy, e questa volta decrittografate , la richiesta che sta passando con il certificato del proxy. Quindi il proxy li reencrripts con il proprio certificato, che è diverso da quello che dovrebbe essere, ma è firmato da una CA attendibile, quindi nessun allarme viene generato; l'icona SSL nel browser si riferisce ancora alla pagina principale, quindi non hai modo di sapere che quattro quinti del traffico - la parte importante - è stato snoopato.

Avresti bisogno di qualche utilità come Certificate Patrol per Firefox.

will my Kaspersky notice it and stop it? because i heard kaspersky does some tricky stuff with the https certificates

No, non lo farà. E le cose complicate di Kaspersky (o ESET, o ...) sono esattamente le precedenti: installa un proxy invisibile e un certificato attendibile, in modo che possa decrittografare le comunicazioni SSL e assicurarsi che non ci siano virus all'interno.

Altrimenti, la sua protezione Internet non potrebbe mai funzionare con HTTPS.

Solitamente un software antivirus crea e installa un certificato CA root sul computer, che è in grado di creare certificati arbitrari. Questi saranno considerati "attendibili" dal tuo computer, poiché la CA che li ha firmati è attendibile (la CA Anti-Virus).

Al momento della richiesta di un sito Web, ciò avverrà in genere.

1. Hai richiesto google.com
2. Il tuo software AV eseguirà il proxy della richiesta
3. Il tuo AV stabilisce la connessione e convalida il certificato google.com originale
4. Il tuo AV fornisce un certificato contraffatto (firmato da detta CA di root) nel tuo browser
5. Il browser considera "attendibile" poiché la CA radice è attendibile
6. Il tuo AV ha la (e) chiave (i) della CA principale e il suo certificato in modo che possa leggere e codificare nuovamente tutto il traffico

Altrimenti, il tuo software AV dovrebbe in qualche modo manipolare il tuo sistema in un modo ancora peggiore, in quanto non è in grado di decifrare il contenuto HTTPS (solo il browser può (e chiunque può estrarre le chiavi dalla sua RAM)). Chrome ha recentemente implementato misure contro il software AV che manipola il suo codice, poiché è noto che il software AV implementa i propri piccoli bug mentre tenta di proteggerti (è comunque software e quindi ha bug e superficie di attacco).

Il software AV è in grado di spiare? Assolutamente. Funziona come un processo molto privilegiato e quindi può manipolare molte cose.

Ti proteggerà? Se ha rilevato il contenuto dannoso, sì. Tuttavia, il software AV può non riuscire a rilevare gli attacchi, soprattutto quelli nuovi, quindi non fare affidamento su di esso come misura di sicurezza.