V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
iqav
V2EX  ›  问与答

Web QQ 在公司局域网里,安全吗?

  •  
  •   iqav · 2013-07-02 14:21:46 +08:00 · 4634 次点击
    这是一个创建于 4166 天前的主题,其中的信息可能已经有所发展或是发生改变。
    写着是可以使用SSL加密,是不是说网管什么的,就没法获取或监控我的聊天记录呢?
    21 条回复    1970-01-01 08:00:00 +08:00
    cxe2v
        1
    cxe2v  
       2013-07-02 14:36:30 +08:00
    你公司得有多大,才会通过各种手段监控员工聊天
    iqav
        2
    iqav  
    OP
       2013-07-02 14:42:58 +08:00
    @cxe2v 早上一同事跟我聊天,聊到这话题。在我进公司前,Boss就干过这事,翻看大家的聊天记录,而大家都还不知情。但事情具体细节如何我就不太清楚。如果对于公司的QQ,爱怎么翻就怎么翻。但对于我自己的Q,在没有密码的情况下,应该算是安全的,况且 Boss 并非那类人才。我欲了解的是硬件设备,因为在路由上动了手脚,所以非允许的QQ都登陆不了,因此我才用WebQQ,我想它应该是安全的!
    karbon
        3
    karbon  
       2013-07-02 16:09:46 +08:00
    搭車問一下webQQ的登錄是不是安全的,提交帳號密碼的那個form我沒看出來到底有沒有走ssl;登錄以後所有操作都是走ssl的嗎@iqav
    cxshun
        4
    cxshun  
       2013-07-02 16:22:41 +08:00
    用https请求就OK了,webqq上面有得设,离开的时候记得锁屏。
    遇上这样的极品老板,我只说五个字:请报公司名
    cxe2v
        5
    cxe2v  
       2013-07-02 17:07:08 +08:00
    他翻也不过是翻你的记录吧,他哪来的能力截获你的聊天信息,你下班时退出QQ不就行了
    wubo19842008
        6
    wubo19842008  
       2013-07-02 20:58:10 +08:00
    绝对是安全的,ssl/tls绝对可靠,只要不是你的浏览器被植入了什么插件脚本就成。
    mikej
        7
    mikej  
       2013-07-02 21:54:32 +08:00
    学校信息中心有行为监控系统,轻言目睹一群学生看别人的qq聊天记录。。。
    shinwood
        8
    shinwood  
       2013-07-02 22:18:03 +08:00   ❤️ 1
    本地对自己的 HTTP 嗅探一下,看看能不能得到原文即可知道有没有被偷看的可能。
    iqav
        9
    iqav  
    OP
       2013-07-03 08:26:55 +08:00
    @cxe2v 那肯定得退,这可以常识。
    @wubo19842008 我也觉得,应该是安全的。
    @mikej 有这么东西?它是怎么监控的?
    dndx
        10
    dndx  
       2013-07-03 08:36:57 +08:00   ❤️ 1
    刚做了测试:





    且不管 QQ 的客户端用的是何种加密方式,就 SSL/TLS 而言,我不认为任何公司有能力实时解密。

    结论:WebQQ 是安全的
    mikej
        11
    mikej  
       2013-07-03 13:54:10 +08:00   ❤️ 1
    @iqav 当时只是瞄了一眼,也不是很清楚,后来问老师了,他的回答是:和腾讯等厂商签协议。。。
    @dndx 替换证书 ,能否看到
    dndx
        12
    dndx  
       2013-07-03 14:01:39 +08:00   ❤️ 1
    @mikej 理论上替换证书可以达到目的,但是公司还需要在每一台电脑上都装上伪造的根证书,这个几乎无法实施(除非用的都是公司的电脑)。

    为参考起见,附上 https://d.web2.qq.com/ 的正确证书链:



    SHA1 指纹:D4 D3 27 E9 C3 EF EC B4 65 E2 81 92 AC A1 DE 71 08 B1 0A F4
    iqav
        13
    iqav  
    OP
       2013-07-03 14:20:32 +08:00
    @dndx 奇怪,设置上是启用了Https安全链接,但上去的提示未加密。这问题出在哪呢?
    dndx
        14
    dndx  
       2013-07-03 14:23:15 +08:00
    @iqav 只有发送消息的 API 用了 SSL 。这样实际上还是有安全隐患,因为可以通过替换没走 SSL 的资源文件截获消息。

    中国的 IM 产品没一个真正安全的,还是乖乖用 Google Talk 或者 Facebook Chat 吧。
    celon
        15
    celon  
       2013-07-03 15:48:55 +08:00
    @dndx 映像中,原始Google Talk 的协议还是明文的吧?
    dndx
        16
    dndx  
       2013-07-03 15:49:57 +08:00
    @celon 直接用网页版的,不要用 XMPP 。
    yyai3
        17
    yyai3  
       2013-07-03 16:25:44 +08:00
    qq的客户端使用http代理 会被截获吧?
    jiangzhuo
        18
    jiangzhuo  
       2013-07-03 17:15:19 +08:00
    我覺得為了避開公司的監控,你用手機QQ不就好了。。。。
    hcw1588
        19
    hcw1588  
       2013-07-03 17:19:14 +08:00
    @yyai3 会吧,http代理本身就是明文的。不知走vpn会不会
    wang2191195
        20
    wang2191195  
       2013-07-03 21:05:55 +08:00 via iPhone
    @mikej 请报学校名大家来黑一下=_=
    chemhack
        21
    chemhack  
       2013-07-03 21:20:30 +08:00
    这年头,你们还信SSL啊,被盗了那么多CA私钥很多都被卖给做企业上网监控了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1078 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 19:29 · PVG 03:29 · LAX 11:29 · JFK 14:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.