Si visito un sitio https desde una computadora habilitada por Family Safety, y alguien se comunica con la conexión, ¿recibiré una notificación?

3

Mientras lee sobre Seguridad familiar y HTTPS :

  

Dado que el protocolo HTTPS está diseñado para evitar el espionaje, Microsoft Family Safety no podría monitorear el tráfico cifrado a menos que realice lo que es esencialmente un ataque de hombre en el medio.

     

Para dar su consentimiento a tal indagación, y suprimir todas las advertencias de "Certificado no confiable" que surgen de este esquema, debe indicar a Firefox que confíe en el certificado SSL de Microsoft que se usa para volver a cifrar.

Surgieron las siguientes preguntas:

Me pregunté si Microsoft Family Safety sería un riesgo de seguridad. Si realizo una conexión a enlace en una computadora habilitada para Seguridad Familiar, y el certificado de Google está bloqueado (porque alguien está ingresando con un certificado no válido, o porque google olvidó renovarlo), ¿seré notificado? ¿O solo veré que la conexión con Family Safety es buena?

Entonces, ¿la banca en línea desde una cuenta habilitada para Protección infantil no sería un gran riesgo de seguridad? (No vi esto mencionado en los anuncios de Microsoft)

Además, para volver a cifrar, Family Safety necesitaría tener la clave privada para el certificado en mi computadora personal y en otros seis mil millones de computadoras personales, y IE confía en ese certificado. Por lo tanto, un usuario malintencionado podría usar esta clave privada y sus servidores serían servidores Microsoft certificados y de confianza para IE de forma predeterminada. Correcto?

    
pregunta Alexander 19.12.2014 - 08:16
fuente

2 respuestas

3

He jugado con Family Safety en Windows 8.1, y por lo que puedo decir, parece ser lo suficientemente inteligente como para verificar la validez del certificado original anterior que procede a reemplazarlo con un Microsoft certificado.

En la captura de pantalla a continuación, puede ver que cuando visité Google, el certificado real de Google fue reemplazado por el certificado de seguridad familiar de Microsoft:

Sinembargo,sivisitounsitioconuncertificadonoválido,todavíapresentaunaadvertencia:

Por lo tanto, es bastante claro que si la verificación del certificado falla, Family Safety NO reemplazará el certificado y en su lugar permitirá que se muestre la advertencia. Probé esto tanto en Internet Explorer como en Google Chrome y ambos muestran el mismo comportamiento.

  

Además, para volver a cifrar, Family Safety necesitaría tener la   clave privada para el certificado en mi computadora personal, y en seis mil millones   Otras computadoras personales, y IE confía en que cert. Así que un usuario malicioso   Podría usar esta clave privada y sus servidores estarían certificados.   Servidores de Microsoft y de confianza por IE por defecto. Correcto?

El certificado de seguridad familiar no se utiliza para la verificación del sitio web, por lo que no es necesario instalar el mismo en todas las computadoras del mundo. Me imagino que se genera aleatoriamente y se agrega como confiable cuando habilita la Protección infantil (o al menos cuando la computadora está instalada). Teóricamente, si alguien roba la clave del certificado en SU computadora en particular, es posible que pueda usar el TU en el medio sin generar advertencias, pero nadie más.

    
respondido por el tlng05 19.12.2014 - 23:25
fuente
0

Otro punto a tener en cuenta es que como la seguridad familiar utiliza la plataforma de filtrado de Windows, intercepta los paquetes y los examina, una solicitud de conexión SSL / TLS contiene el nombre del servidor en texto claro, por ejemplo (como se muestra arriba) .com "estará visible para cualquier indagación, pero el resto de la solicitud no lo será.

    
respondido por el user116931 07.07.2016 - 21:39
fuente

Lea otras preguntas en las etiquetas