上班摸鱼与网络安全

    有同学会问，我访问的就是cnblogs的域名，难道跟我通信的会不是博客园的网站服务器么？答案是未必，例如你使用的是公司的网络，你可能会被代理，比如中间的某个网络设备，跟你说他就是cnblogs，成为了你和博客园通信的中间人，你以为你在跟博客园通信，实际是被中间人转发的，于是中间传话人自然就知道了双发的通信内容。

　　

 　　第二条的存在就保证了，跟你通信的不会是中间人，一定是“www.cnblogs.com”这个域名的拥有者。因为我的公司不拥有这个域名，因此，不可能通过中间人的方式拦截解析我与博客园之间的通信内容。

　　

 

　　这是证书的详细内容，大意由www.digicert.com这个权威的机构担保，目前跟你通信的人，一定是拥有*.cnblogs.com的人。类型是 DV。 域名所有权认证证书。

　　结论1，以锅叔的密码学常识认为，如果你浏览的是https协议，证书有效的网站，你跟站点间的通信内容是不会被公司网络监听的，不必担心。

　

　　二、微信聊天记录是否可以被获得

　　这个担心的人就更多了，谁的微信还没点儿故事。:-)

　　是否安全，这个取决于微信的实现，如果设计上，微信的通信是明文裸奔的话，那如果使用公司网络，确实是会被监听获取聊天内容的。但腾讯这么大厂，微信这么多用户，显然不可能不考虑信息安全问题。因此锅叔可以大胆推测，微信的通信肯定也是经过可靠加密处理的。

　　记忆中有看过对微信安全机制进行分析的文章，也是使用非对称加密交换随机秘钥，然后用对称加密进行内容传输的。密码学上来说，私钥肯定是被腾讯服务器掌握并保管的好好的，微信客户端发送的随机对称秘钥，只有微信的服务器能够解读，这样的机制也是常规做法，符合我们的预期。非对称秘钥协商过程如下图。

 　　结论2：微信的聊天内容，是不会被公司网络截获，取得的。

　　三、监控摸鱼的常见手段

　　—— 收到黑客邮件勒索，你公司内网已被攻破并植入后门， 请转账XXXXX元到指定账号，否则将对你公司网络进行间歇断网。之后公司网络确实每XX分钟断网X分钟，公司运维排查了很久都没有发现有入侵迹象，后来发现是黑客买通了机房保安，每隔XX分钟拔了网线，等会儿再插上。

　　技术从来都不是黑客的唯一手段。上网监控的方式有很多，大致分类如下：

　　1. 网络监听，通过网络设备进行审计，监听。

　　可以进行网络行为管理，进行一定的审计。包括禁止使用特定软件（阻止特定端口通信），网速限制，流量统计等。开头的国美流量报告，可以通过这样的方式取得，但像那个负责人说的可以获取全部内容就有点神了。

　　2. 上网行为管理程序

　　在员工电脑本地安装监控程序，程序因为工作在计算机本地，对系统硬件有完全控制权，很容易获得各类信息，如键盘输入内容，屏幕截屏，录屏等。

　　这种方式理论上是可以全权控制你的电脑的，电脑使用者毫无隐私可研。但前提是需要在该计算机提前安装相应软硬件。相当于对于使用人员可见，不算套路。尽量使用自己的设备。:-)。

　　3. 其他监控

　　如摄像头等，可以直接观察到你的行为。这个没啥说的，一般也都在明处。

　　

     4. 社会工程学

 　 领导自行观察判断，或者通过，眼线，心腹情报了解。因此摸鱼要低调，广结善缘。

　　四、说回流量报告

 　  最后说回流量报告，无论如何加密，你与特定服务器间通信的流量是无法隐藏的，因为都要流过你们之间的网络设备。所以通过监听审计的方式，是很容易取得一份类似国美的流量报告的。但你具体看了啥，如果不使用开放格式传输，中间环节未必能够了解。

　　所以未必是报告有所保留，可能也没有更多可以披露的摸鱼证据。

　　总之，看片、听高保真的摸鱼方式是风险很高的。建议，调整下爱好，看看文字小说啥的。

　　对于流量报告有什么应对策略，锅叔能想到的可能就是用代理方式了， 这样审计上会看到你与代理服务器发生了流量交换，但因为不是已知的这些知名应用ip 端口，没法直接得出结论，你是在看片，还是在听歌。只知道你跟一个特定IP，请求了很多个G的数据……