Websocket与MitM网关

Question

许多解决方案可用于通过Websockets进行IP隧道，以将VPN伪装成浏览器流量。但是，这些连接有多隔离呢？具体来说，如果浏览器碰巧运行在安装为MitM所有TLS通信量的公司网关后面的主机上，那么网关是否有办法解密隧道连接？

AFAICS没有一套标准可供参考，就像IPSec一样，因此在这个问题上缺乏特异性。

Answer 1

Websockets使用https证书的方式与所有其他安全的way流量一样。因此，如果您与internet之间有一个公司代理，则很有可能已经在公司计算机上安装了公司证书。这将允许公司MitM所有的网络流量，包括websockets。

可以对websockets本身的内容进行加密，但是您链接的代码只是依赖于HTTPS本身的加密。

• 您应该期望您的公司管理员可以看到您的流量明文。
• 您还应该期望，由于大量的流量通过websocket流向特定的域，因此它将被标记为异常，并比大多数其他连接更仔细地进行调查。
• 即使您的公司管理员不知道什么是流量，它很可能会绊倒公司IDS作为一个恶意软件命令和控制网关。

Answer 2

基本上，您现在已经通过不受信任的连接建立了VPN。如果VPN是为了处理这个问题而实现的(例如，您的列表似乎不是这样的)，这应该是可以的。

如果VPN正确地加密了数据，那么只有拥有密钥的实体(即您和您的VPN对等方)才能对其进行解密。