我的问题是关于我在网络浏览器中在键盘上键入的文本。我知道如果网站有 HTTPS,那么从我的浏览器到网站的连接是安全/加密的,但是我在本地计算机键盘上键入的文本呢?
例如,在网吧,如果您打开 Chrome 窗口并访问安全站点 (HTTPS),您在键盘上键入的文本是否可以安全地从键盘传输到浏览器?本地计算机上的键盘记录软件可以访问文本吗?
我担心在公共计算机上登录我的电子邮件帐户(或任何其他私人帐户),我输入的密码会被截获吗?如果是这样,在这种情况下,公共计算机的用户有什么方法可以确保其密码的私密性?
不,您的数据在本地计算机上的键盘记录器中并不安全。公平地说,这里没有更多要说的。键盘记录器将抓取并保存输入的任何击键。tls(https)加密发生在驱动程序从键盘“发送”这些击键到浏览器“通过”键盘记录器“之后”。
即使正在使用加密并且计算机上没有多种类型的间谍软件,计算机和站点之间的连接也可能有中间人 (MiTM) 设备,它会诱使您的计算机认为它正在使用加密不是。
好问题。是的,在公共信息亭上,您冒着获取凭证的风险。我想不出任何可以绕过键盘记录软件的东西(VPN 将修复 MiTM 问题)。谨防。
HTTPS 不可能完全保护您在不受信任的计算机上的用户输入:该计算机可能安装了键盘记录软件。键盘可能已编程固件以记录您的键盘记录。计算机和记录按键的键盘之间可能存在硬件设备。可能有屏幕录制软件正在运行。当您使用它时,可能会有一个摄像机指向键盘。计算机可能配置为完全信任充当所有 HTTP 和 HTTPS 连接的中间人的网络代理。
如其他答案所述,HTTPS 仅保护您的计算机(浏览器)和远程服务器之间的通信传输部分。用户(人类)和浏览器之间的任何东西都容易受到攻击者的攻击。
即使键盘在浏览器之间是安全的,摄像头(计算机外部)也可以捕获您输入密码的视频——这甚至与 HTTPS 没有任何关系。
行动胜于雄辩。
很久以前,当我 15 岁时,我编写了一个简单的键盘记录器,它几乎可以记录所有内容。尽管如此,它还是成功地窃取了很多密码,包括那些输入 HTTPS 页面的密码。
链接:上述按键记录程序的我的 GitHub 存储库。
解决方法:要绕过键盘记录软件,您可以在屏幕上绘制一个键盘,并要求用户使用鼠标或轨迹球单击该键盘上的键(该数据将很难记录)。当然,这对用户来说可能很累,所以您可能只想用它来输入密码或小文本。