Il 01 giugno 2010 12.03, Giuseppe Paternò (Gippa) <[email protected]> ha scritto: > Ciao! > Una domanda che mi e' venuta in mente guardando il post su Vodafone. > Ho provato da un cliente un web proxy commerciale (websense) che e' in > grado di fare (passatemi il termine) un MtM su SSL, terminando la > sessione sul proxy e ri-criptando verso il sito di destinazione. > Questo per fare il filtraggio anche dei siti SSL, filtrando le URL se > sono permesse o no: spesso alcuni utenti usano dei proxy esterni per > la navigazione su SSL, aggirando di fatto eventuali restrizioni > (questo perche' la default e' permit, IMHO sbagliando). > IMHO figo da un punto di vista implementativo, praticamente uno dei > proxy mtm che si usano per "verifiche" in una connotazione > commerciale. > Una domanda che mi sono posto: e' legale? > Da un punto di vista prettamente teorico, se dall'ufficio mi collego > al mio home banking, teoricamente (sottolineo teoricamene) potrei > analizzarne il contenuto ed eventualmente, in caso di siti come quelli > di vodafone, avere informazioni quale username/password, ecc.... > Voi cosa ne pensate? > Ciao ciao, > Gippa
Ciao Gippa, molti prodotti commerciali adottano la tecnica del "MITM" per l'inspection del traffico SSL, agendo sia come reverse che come forward proxy. Sicuramente ci stanno delle implicazioni legali, motivo per cui molti prodotti implementano la possibilità di discriminare quale tipologia di traffico SSL deve essere scansita e quale no. Nella seconda categoria ricadono normalmente i siti di tipo "financial" o comunque tutti quelli a carattere sensibile. La scelta sta alla bontà e intelligenza dell'amministratore e dell'azienda. Sinceramente non sò se ci stanno norme che regolano tale comportamento, ma sicuramente quando si parla di Privacy l'Italia è sempre in prima linea! :-) -- Santino Nocera Senior Security Engineer
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
