是的。总是假设是的。

即使你不确定，也总是假设是的。即使您确定，他们也可能与 ISP 签订了合同，一个安装了数据包记录器的流氓管理员，一个捕捉您屏幕的摄像机……是的。

您在工作场所所做的一切对每个人都是可见的。尤其是您在数字媒体上所做的一切。尤其是私事。尤其是你不希望他们看到的东西。

信息安全的基本规则之一是，谁可以物理访问机器，谁就拥有了机器。您的雇主可以物理访问一切：机器、网络、基础设施。他可以添加和更改策略、安装证书、扮演中间人。甚至可以拦截带有“SSL”的网站。这有很多正当的理由，主要与他们自己的网络安全有关（防病毒、日志记录、禁止访问某些站点或功能）。

即使你很幸运，他们看不到你的消息内容，他们仍然可以看到很多其他的东西：你建立了多少连接，到哪些站点，你发送了多少数据，在什么时间......即使使用您自己的设备，即使使用安全连接，网络日志也可能非常具有启发性。

请，当您在工作时，或使用工作计算机，甚至在公司网络上使用您自己的计算机时：始终假设您所做的一切都可以被您的雇主看到。

是你的设备吗？

有两种方法可以监控您 - 您在计算机上所做的事情被记录在您的计算机上，或者它产生的互联网流量被记录在网络上的其他地方。

有很多方法可以防止在运输过程中窥探流量，但如果不是您的计算机（或智能手机或平板电脑），则始终有可能安装某种记录软件，该软件可能会监控您在设备上所做的一切，没有例外。如果您允许您的雇主篡改设备，例如安装一些软件，情况也是如此。

现在，这可能不像您的流量被记录那样可能，因为许多不在高安全区域工作的雇主可能不觉得值得付出努力，但这仍然是一个非常现实的可能性。因此，如果您使用雇主提供的设备，无论您采取何种预防措施，他们都可能看到您所做的一切。

浏览时，您使用的是 HTTPS 吗？

因此，假设您使用自己的设备，而您的雇主没有在其上安装任何东西（也许您将私人智能手机连接到办公室 Wi-Fi）。他们仍然可以通过监控网络流量看到您访问的网页吗？

这取决于您是使用纯 HTTP 还是使用 HTTPS。如果您访问的地址以它开头https://意味着通信是加密的——S 代表安全——但如果它以它开头，http://则不是。您还可以检查 URL 栏中是否有挂锁图标 - 请参阅此处的 Firefox说明。

不过，这里有一些重要的警告：

• 您访问的域仍然可见。因此，如果您访问https://example.com/secret您的雇主，您将能够看到您访问过example.com，但看不到您专门访问过该secret页面、那里写的内容或您发布的任何内容。
• 如果此设备是办公室发行的或已被您的雇主篡改，那么他们读取任何一种方式的所有流量都是微不足道的。这是通过在设备上安装证书来完成的。完成后，他们可以拦截来自服务器或您的数据，对其进行解密、重新加密并将其发送给收件人，而无需任何人知道。HTTPS 不会帮助你。

对于其他应用程序，它们是否使用加密？

我们在互联网上做的不仅仅是使用浏览器访问网页。您的计算机和手机可能都安装了数十个以某种方式使用互联网的应用程序。那些呢？

可悲的是，这有点不透明。默认情况下，网络所有者可以读取（和修改）您通过它发送或接收的所有内容。为了阻止这种情况，必须使用某种加密。

很难知道任何特定应用程序是否使用（正确实施）加密，除非应用程序的制造商积极宣传它（并且您信任他们......）。某些应用程序（例如WhatsApp）以使用加密而著称，而其他应用程序则不使用。我建议您假设流量未加密，除非您知道它是加密的。

TL;博士

这取决于。为了安全起见，假设是的可能是个好主意，并且只需从您自己的私人家庭网络中进行任何敏感业务。

为了进行有效的论证，我们将研究如何进行窥探的可能性。

需要注意的是：即使有机会，也不是所有公司都会监控你的行为。这是一个严格假设的调查。我们只是在调查窥探的可能性，而不是您的雇主如何利用它。你假设你的雇主的行为方式是你和你的雇主之间的事。

话虽如此，在调查窥探的可能性程度时，需要考虑以下关键点：

• 谁拥有您使用的硬件？
• 你在用谁的网络？
• 谁在身边？

谁拥有您使用的硬件？

如果您使用雇主拥有的硬件，这可能是最坏的情况。在确定如何窥探时，您的雇主有多种工具可供选择。如果您使用雇主的硬件，一切皆有可能：一切都可以监控。雇主在设置硬件时拥有完全的自主权。键盘记录器、屏幕记录器、数据包操纵器和烦人的继续工作提醒只是可以在未经您同意的情况下安装在计算机上的一小部分内容，因为它不是您的计算机。不可能以任何信心验证某事已被篡改. 即使您设法使用不同的网络（不太可能），数据也可以在到达您的显示器之前在任意数量的硬件之间传递。如前所述，这可能是最糟糕的情况。

你在一家视频制作公司工作。对您的职位至关重要的软件价格昂贵且资源密集，因此您会获得公司制造的机器，其中包含 Adob​​e 软件套件、Blender 等，供您在办公室使用。您的团队负责人似乎暗示他对您一直在从事的项目的细节了解很多，因此您决定调查计算机上安装的软件。幸运的是，Windows 控制面板中的“卸载程序”窗口没有显示任何可疑内容。

然后你记得那篇关于如何从控制面板隐藏程序的文章。唯一的方法是查看注册表，当您没有管理员帐户（您没有）时，这是不可能的。没有管理员帐户，没有保证。

你在用谁的网络？

任何使用过 Kali Linux 的人都可以告诉你，网络很容易受到攻击（而且通常是）。但是用 Kali 监控/操作和监控/操作你的本地网络是两个完全不同的球类游戏。控制网络使您可以访问来自所有 MAC 地址的所有流量。有时流量会出现乱码（加密），有时会是纯文本（未加密）。但是，流量是所有监控的限制。只有您通过网络执行的操作是可见的；如果它没有联网，你是安全的*。

未加密的流量很危险。任何收听的人都可以看到进出您的以太网/无线卡的内容以及它的确切位置。如果您想掩盖您通过网络发送的确切内容（对博客文章的评论、发送到 FTP 服务器的文件或通过不使用 SSL 的 SMTP 服务器发送的电子邮件），这并不好。为了安全起见，使用TLS/SSL将使您更加安全。这将加密通过线路发送的信息，将内容保存在您和服务器之间的数据包中。

但是，您还必须考虑到即使使用 TLS/SSL，仍然存在窥探的可能性。由于您的计算机通过网络发出请求的方式的性质，仍然可以收集“元数据”或有关您的数据的数据。您仍然需要通知连接到 Internet 的路由器您想从哪里获取信息，或者需要去哪里。虚拟专用网络通过加密所有网络流量并将其发送到其他地方的路由器（伪装成您）来增加对这种级别的窥探**的保护。

在上一次隐私惨败之后，您决定让自己的工作站开始工作。将其连接到网络后，一切顺利。但是，您注意到您的团队负责人提出了一个讨论主题，这让您想起了您在留言板上发表的许多评论。像以前一样，您决定进行调查。您在 security.stackexchange.com 上阅读并发现您的信息可能已被窥探。在防御中，您开始使用 VPN 加密所有流量。在发布更多博客文章后，您会注意到对话往往不那么流畅。成功！

*：这里要小心，因为某些未在互联网上使用的软件可能仍会在后台发送使用信息。最好的做法是提前通知用户（在此处查看以向 X 公司发送匿名使用统计信息），但并非所有人都会这样做。

**：可以通过 MAC 地址或使用备用 DNS 来阻止 VPN 连接以阻止与 VPN 的连接。这是一些 ISP 的常见做法。

对于最后一点，我们将从示例开始：

突然，您的雇主开始再次提及与您关注的留言板类似的主题。你会想，“但是等等！我的硬件是安全的，我的流量在 VPN 后面！这怎么可能？！”

谁在身边？

有时，收集信息的最简单方法是寻找它。字面上看。相机，从你的肩膀上窥视，用双筒望远镜在房间里看你的屏幕，在你还在登录但你在浴室的时候看你的电脑，等等。这些“中世纪的窥探方法”可能很粗糙，但我与进行网络/硬件窥探的所有艰苦工作相比，宁愿走到某人的计算机前找出我想知道的内容。

此外，如果不对您的身体行为和空间做出重大改变，这可以说是最难防御的，其中一些在办公室范围内可能是不可能的。我将示例和解决方案留给那些偏执到足以担心和解决这些问题的人，因为有些非常乏味（想象一下结合使用双因素身份验证和生物扫描......你明白了）。

是的。他们是否这样做，或者他们监控到什么级别，是您公司的问题。通常，您会在公司员工手册中找到监控政策，并且通常会有一个可接受的使用部分或另一个专门用于此的完整文档。

请记住，某些行业受到监管，您的公司不仅有权监控法律可能要求的所有电子活动。

一个好的一般经验法则是，无论您想在公司 Internet 上做什么，如果您在老板坐在您旁边看着的情况下不这样做，那么您就不应该这样做。

关于您的私人计算机的部分，如果您将其连接到您的公司网络，那么您通过该 Internet 进行的活动受您雇主的政策的约束。公司甚至让不受其控制的设备连接到他们的网络是一个坏主意。很多公司都有禁止这样做的政策，如果你这样做，即使你没有做任何违反他们可接受的使用政策的事情，也会给你带来麻烦。