最近单位 IT 做了件挺恶心得事儿,要求每个人安装他们提供得证书,然后才能访问网页,如果不装访问所有网页都提示证书错误,从 IE 显示来看,貌似所有网页都是使用他们得证书。怎么做到的?
而且感觉这样有很大风险,请问有没有方法绕过这种机制,不然太烦了。目前知道得是可以通过 VPN 等工具直接绕过,有没有除此之外更简单一点得方法,或者有没有人知道这种机制是怎么运作得?
1
goodryb 2018-04-13 09:29:45 +08:00
中间人了解一下?
|
2
msg7086 2018-04-13 09:30:01 +08:00 1
辞职大概一分钟
|
3
catinsnow 2018-04-13 09:31:58 +08:00 1
安装证书是为了 https 介入. 这样 https 加密流量也能明文扫描管控了. 就是你信任了它的证书, 它就可以在网关上解密 https 流量再用自签发的证书加密给你,而你的浏览器依然信任,你不查证书看不出来不是网站原来的.
|
4
showkin OP @catinsnow 原来如此,这么一说就全明白了。真恶心。我通过 VPN 得流量应该不能从网关解密吧?另外 SS 得呢?
|
5
nianbo2001 2018-04-13 09:45:15 +08:00
公司电脑进行监控挺好的啊
|
6
MikuM97 2018-04-13 09:49:17 +08:00
HTTPS 流量解密,深信服 PA 都在推这个功能,这样防火墙、行为管理就能针对 https 加密的流量进行识别阻断。最好的绕过方法就是,s-s s-s-r 一类的非标准 SSL 协议加密的代理
|
7
dianso 2018-04-13 09:49:31 +08:00 via Android 1
上班就好好工作。别有坏心眼,觉得这样不行就找上司给你解决或者辞职
|
8
xuan880 2018-04-13 09:56:53 +08:00 via Android 1
辞职吧,瞎弄小心被开除。
|
9
est 2018-04-13 09:58:47 +08:00
ssl 里再套一层 ssl。
|
10
ybbswc 2018-04-13 10:00:05 +08:00 via iPhone 1
公司电脑别搞事情。要么忍,要么滚。😂
|
11
showkin OP @dianso 不明白你的逻辑在哪里,我们是咨询机构不是 IT 企业,平时要花大量时间上网查资料以及与人沟通,有些资源是私有的,不是公司的。啥叫坏心眼?另外电脑是自带得笔记本,我当然不希望装一些乱七八糟得东西。如果找上司有用或者不爽辞,我闲的蛋疼发帖子?
|
13
mandymak 2018-04-13 10:04:37 +08:00
|
14
winneis 2018-04-13 10:07:02 +08:00 via Android
买个日租卡,自带电脑上班
|
15
showkin OP |
16
ioriwong 2018-04-13 10:13:12 +08:00 via iPhone
无限量 4G 卡 + 4G 路由器,用自己的网
|
17
maskerTUI 2018-04-13 10:17:22 +08:00
上联通冰激凌套餐吧
|
18
zw 2018-04-13 10:56:19 +08:00
@showkin 或许公司的目的就是要将你的私有资源转变为公司资源呢。。。那样的话,如果你不顺从,比如自己带电脑,用 4G 上网的话,最终结果就是被辞退。。。
|
19
stanjia 2018-04-13 11:03:32 +08:00
辞职大约 1 分钟
|
20
showkin OP @zw 本来就是自己带电脑。另外我觉得没有一个公司敢明目张胆的说要求将私有资源转化成公司资源吧,你给我的薪水不包括这部分。就像你自己用私有时间做了一个发展不错的开源项目,结果公司说你要把这玩意儿给公司,你啥感受?
|
21
honeycomb 2018-04-13 11:13:03 +08:00 via Android
|
22
nisnaker 2018-04-13 11:19:22 +08:00
用某钥匙试试能不能用隔壁公司的 Wi-Fi
|
24
j2001588 2018-04-13 12:33:33 +08:00
|
25
j2001588 2018-04-13 12:34:37 +08:00
这个问题一般来说 如果是公司的电脑 公司这么做 无可厚非 如果是 私人的电脑干公家的事可以让公司发终端补偿
|
26
j2001588 2018-04-13 12:35:31 +08:00 1
最近我的单位要开始用钉钉了 我的原则就是接受公司管理 但是请提供办公专用手机
|
27
j2001588 2018-04-13 12:36:54 +08:00
最近我的单位要开始用钉钉了 我的原则就是工作时间范围内接受公司管理 但是请提供办公专用手机,如果公司不能接受我的要求也简单 给补偿 我走人就是了
|
28
wplct 2018-04-13 12:58:48 +08:00
这种情况只能跑路
|
30
taresky 2018-04-13 14:08:53 +08:00 via iPhone
不用公司的网
|
31
geeklian 2018-04-13 14:08:53 +08:00 via Android
这玩意我们单位都用了 7 年了..
你私人信息,可以自带电脑用 4G,也可以手机。 单位外网电脑就是办公用的。 |
32
geeklian 2018-04-13 14:13:37 +08:00 via Android
|
33
wr410 2018-04-13 15:37:07 +08:00
也就只有深信服的设备才会干得出这种事。
解决办法: 买个无限流量卡+开热点 1、能用 USB:USB 无线网卡 2、不能用 USB:便携式路由器 |
34
torbrowserbridge 2018-04-13 15:44:19 +08:00
什么公司吸引力这么大?通过酸酸乳上网吧。
|
35
whileFalse 2018-04-13 17:00:22 +08:00
@j2001588 期待你的后续故事。精神可嘉,可行性不看好。
|
36
hatw 2018-04-13 17:52:00 +08:00
@j2001588 #27 这个估计。。。。我以前的公司现在用钉钉。。。一天打卡 4 次。。。。早上一来,中午吃饭,午休开始上班、晚上下班。。。。少一次扣钱
唉。。。 |
37
zhuanzh 2018-04-13 18:00:46 +08:00 via Android
@j2001588 我比较好奇 你这个深信服还是啥设备真的能做到阻断 ss ?如果可以,换 ssr 用其他混淆算法呢?或者自己魔改一个专用混淆算法呢
|
40
Liqianyu 2018-04-13 18:20:51 +08:00
@j2001588
@WordTian http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=33527 http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=33152 http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=37361 http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=42931 混淆伪装为 tls 或者 http 协议可解决 看起来深信服对于$$\$$R 流量还是没办法的,如果使用 obfs 我相信完全无法拦截。 |
43
thetast 2018-04-13 23:55:32 +08:00
bluecoat 也可以做相类似的事情。在公司的电脑上装这个很多公司都这么搞,其实也不止是这样子,很多公司都会有其它的包括 DLP 软件等等,根本不需要在网络上下手。
|
45
bombless 2018-04-14 11:16:59 +08:00
其实现在无限流量的手机卡挺好搞的,甚至有一些免月租的。正规的也是 99 块一个月。
|
47
vipcloos 2018-04-15 11:05:45 +08:00
虚拟机了解一下
|
48
qwvy2g 2018-04-15 18:33:56 +08:00 via Android
怎么不单独搞个特殊的拨号客户端?从客户端上来记录。
|
49
dada0627 2018-04-16 18:16:53 +08:00 via Android
电脑里头装虚拟机,虚拟机上网,不想搞虚拟机下个安卓模拟器也行
|
50
gamecreating 2018-04-17 16:09:09 +08:00
中间人攻击....没办法 辞职吧
|