Suponiendo que no hay MITM, ¿la comunicación de Gmail es 100% segura y privada?

Navega tus respuestas
1

A veces tengo que usar mi cuenta personal de Gmail desde la estación de trabajo de mi empresa, donde sé que están usando firewall (s) de contenido como Palo Alto, y posiblemente otras cosas desagradables como proxies transparentes.

Suponiendo:

  • los certificados de Gmail que instalé en mi navegador son auténticos, porque ...
  • la imagen del navegador es auténtica, porque ...
  • los administradores de sistemas de mi empresa no participan en ningún secuestro de DNS para realizar MITM silenciosos entre los servidores de Gmail reales y yo,

Entonces:

¿Pueden ser leídas por terceros en el camino cosas como el Asunto del correo electrónico, la Lista de destinatarios, las fechas de envío / recepción, etc.?

(Según tengo entendido, el protocolo https garantiza el 100% de privacidad o secreto de cualquier intruso, pero no estoy totalmente actualizado sobre el estado actual de la técnica en Seguridad informática).

    
pregunta Harry 06.07.2013 - 13:26
fuente

1 respuesta

4
  

¿Pueden ser leídas por terceros en el camino cosas como el Asunto del correo electrónico, la Lista de destinatarios, las fechas de envío / recepción, etc.?

No , a menos que haya sido obligado a instalar algún certificado de terceros en su computadora. Algunas compañías no le permiten usar Internet a menos que incluya en la lista blanca uno de sus certificados (y todo el tráfico de https se descifre, se descifre y se envíe). En tal caso, pueden leer todo lo que pueda (y también contaminar los datos).

Otra cosa que es posible es que ha agregado un certificado malicioso a su lista de excepciones sin saber qué estaba pasando. Esto sucede: el usuario visita el sitio web, el usuario recibe un error ssl, el usuario agrega una excepción. Si ese certificado era un * cert o algo por el estilo 1 , entonces estás en problemas. Por supuesto, puede verificar esto fácilmente en la lista de certificados de su navegador.

Sin embargo, como ha mencionado explícitamente que su lista de certificados es prístina y no hay MITM en marcha, se descartan las dos anteriores.

A menos que, por supuesto, Google realmente esté trabajando con PRISM ;-)

1. No estoy completamente seguro de si los navegadores siguen aceptando * certificados (aunque las AC no los entregan). Firefox parece permitirlos. De cualquier manera, un ataque similar puede hacerse fácilmente con certificados de múltiples dominios : Puedo usar un certificado sin firmar en manish.com que funciona para manish.com,*.google.com . Cualquier visitante que incluya en la lista blanca mi certificado será capaz de MITM.

    
respondido por el Manishearth 06.07.2013 - 13:43
fuente

Lea otras preguntas en las etiquetas

¿La conexión entre el servidor de Gmail y el servidor de Apple está encriptada? [duplicar] Obtención de una inyección SQL más allá de una expresión regular dada [duplicado]