Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

VB.NET/C# - Proxy https przechwytywanie nazwy strony www.

yukkuri 24 Aug 2015 14:41 1863 11
  • #1
    yukkuri
    Level 8  
    By nie było niejasności i by nikt nie sugerował mi działania na czyjąś szkodę. Tworzę program do monitorowania aktywności użytkownika. Takie dostałem wytyczne od pracodawcy i tym się zajmuję. Program ma działać tylko w sieci lokalnej i zbierać informacje o tym jakich procesów i przez jaki czas używają pracownicy. Jeśli pracownik cały dzień siedzi na facebooku to szef chce mieć taką informację.



    Problemem jest protokół https który ukrywa nie tylko samą treść (co jest ok) ale również chowa adres strony do której wykonywane jest odwołanie. Potrzebuję uzyskać sam adres strony do której człowiek się odwołuje bez podstron i parametrów GET/POST.

    Są takie programy jak fiddler z telerik'a lub Charles-proxy które z powodzeniem realizują debugowanie łącza http i https (wyświetla infomację np. połączeniu tunelowym z serwerem https i podaje adres serwera bez innych parametrów).
    Mój program ma umożliwić pracodawcy włączenie "kontroli rodzicielskiej" pracownikom którzy chodzą po stronach erotycznych i tych którzy siedzą non stop na facebooku itp. portalach. Wystarczy mi detekcja wejścia na stronę by zapisać czas kiedy zostało to zrealizowane dodać wpis na serwerze i pod koniec dnia wygenerować raport ile czasu pracownik się obijał.

    Jeśli jakiś moderator ma zastrzeżenia do mojego tematu to proszę o PW lub maila, chętnie wyjaśnię wszelkie nieścisłości i nieporozumienia.
    Kamery 3D Time of Flight - zastosowania w przemyśle. Darmowe szkolenie 16.12.2021r. g. 10.00 Zarejestruj się
  • #2
    walkmanowiec
    Level 13  
    W poprzednim Twoim temacie pisałeś, że masz już keylogera oraz program robiący zrzuty ekranu- to też na zlecenie pracodawcy? Przecież to jawna inwigilacja.

    Pomijając to- pracownik zawsze może się obijać w inny sposób- chociażby przeglądając internet na telefonie komórkowym- jak temu zaradzi Twój szef? Wyda aplikacje i rozkaże ją zainstalować pracownikom na telefonach?

    Nie prościej by było gdyby pracodawca zrobił białą listę stron, które może odwiedzać pracownik a pozostałe zablokował?
  • #3
    -psiak-
    Level 32  
    Może wytłumacz mi jakim bokiem do tego (jakże szlachetnego zadania) jest keyloger opisany w tamtym poprzednim poście?

    Jeżeli trzeba zabronić pracownikom wchodzenia na jakieś strony to zwyczajnie skonfiguruj lokalny serwer DHCP tak aby www.facebook.com (właściwie to pewna lista adresów) przekierowywał na stronę firmy z informacją że strona zabroniona dla pracowników firmy a informacja o próbie wejścia poszła do szefa.
  • #4
    yukkuri
    Level 8  
    -psiak- wrote:
    Może wytłumacz mi jakim bokiem do tego (jakże szlachetnego zadania) jest keyloger opisany w tamtym poprzednim poście?

    Jeżeli trzeba zabronić pracownikom wchodzenia na jakieś strony to zwyczajnie skonfiguruj lokalny serwer DHCP tak aby www.facebook.com (właściwie to pewna lista adresów) przekierowywał na stronę firmy z informacją że strona zabroniona dla pracowników firmy a informacja o próbie wejścia poszła do szefa.


    Szef się na tym nie zna, więc mam wolną rękę. Na początku zawsze tworzę dużą ilość narzędzi z których używam tylko części. Zresztą jak mierzyć czas bezczynności jeśli nie przez zastosowanie WindowsAPI i rejestrację klawiatury i myszy. Czyli Keyloger? W gruncie rzeczy nic nie stoi na przeszkodzie by proste zdarzenia służące do przejmowania pojedynczych znaków zmusić do tego rejestrowały całe sentencje. Program nie ma naruszać prywatności pracownika więc nie interesuje mnie przechwytywanie treści korespondencji. Nie wiem jak inaczej nazwać program który rejestruje eventy z klawiatury i myszy jak nie keylogger...

    Obecnie działa to tak, że timer odlicza zadany czas i jeśli pracownik nie wykona bardziej złożonej operacji niż kliknięcie pojedynczego znaku to odliczanie trwa i po upływie czasu timer zgłasza zdarzenie które ma docelowo zapisać w bazie, że pracownik obijał się przez zadany czas. Nie widzę sensu rejestrowania całego czasu bezczynności, a jedynie informacyjnie rejestrowanie czasu kiedy człowiek nic nie robi lub wykonuje jakieś operacje w przeglądarce które nie polegają na realizacji jego zadań w pracy.

    -psiak- wrote:
    Jeżeli trzeba zabronić pracownikom wchodzenia na jakieś strony to zwyczajnie skonfiguruj lokalny serwer DHCP tak aby www.facebook.com

    Pracownicy mogą sobie włazić na facebooka byle nie siedzieli tam cały dzień marnując czas pracy na prywatne pogadanki.

    Nie wiem czy mogę załączyć link do strony z przykładowym programem, ale spróbuje (może moderacja mnie nie pouczy za to).
    Activity monitor z softactivity.com
    Zrzuty ekranu nie będą schodzić nonstop bo transfer skutecznie zablokował by połączenie z serwerem. Wystarczyło by odpalić program na 6 stanowiskach i serwer by się natychmiast zmulił. Planuję robić zrzuty ekranu co jakiś czas, ewentualnie tylko na żądanie programu zarządzającego.

    Pisałem kiedyś rejestrator aktywności użytkownika przejmujący klawiaturę i mysz, po czym umożliwiający odtworzenie tych operacji. Działał bardzo fajnie i pozwalał usprawnić użytkowanie programów takich jak Corel Draw pozwalając na automatyzację operacji których nie da się zrobić "z makra" tj. poprzez klasyczną łączność przez referencje do modelu COM. Kod mi został więc chciałem użyć go w tym przypadku pomijając człon odtwarzania kroków który itak nie działa w .NET4 (działa do wersji 3.5).

    walkmanowiec wrote:
    Pomijając to- pracownik zawsze może się obijać w inny sposób- chociażby przeglądając internet na telefonie komórkowym- jak temu zaradzi Twój szef?

    Wszędzie są kamery więc będzie widać, że coś stuka w telefonie.

    Sorry ludzie, że użyłem określenia keylogger które tak mocno was boli. Wydaje mi się, że samo napisanie programu który miał by docelowo okradać ludzi mogło by być podstawą do wszczęcia wobec takiej osoby postępowania prawnego. Nie wiem ile razy mam wyjaśniać to samo. Świadomy odpowiedzialności prawnej uroczyście ogłaszam, że moje działania i pisane oprogramowanie nie mają na celu naruszania prywatności pracownika ani wyłudzania poufnych informacji które są w jego posiadaniu. Wystarczy?
  • #5
    walkmanowiec
    Level 13  
    Nie wiem co to za firma ale jak dla Twojego szefa XX czasu bez kliknięcia/napisania zdania= obijanie się to jest to chyba człowiek nie myślący. Ja siedząc w pracy niejednokrotnie przez 2 godziny nie kliknę myszką bo robię sobie notatki na kartkach, rozplanowuję sobie wszystko a potem dopiero zabieram się za klepanie kodu. Twój szef by mnie wywalił po jednym dniu gdyby tak mnie sprawdzał.
  • #6
    PRL
    Level 39  
    Powiedz 'szefowi' (jakoś Ci nie dowierzam), że niech wyda parę groszy na program 'Opiekun ucznia w Internecie'.

    Jak ci szef powie, że masz napisać własnego Excela, to zaczniesz pisać?

    Nie ściemniaj nam tutaj.
  • #7
    -psiak-
    Level 32  
    Powiedz mi, po napisaniu takiego oprogramowania, co ma cię powstrzymać (lub kogoś z twoich kolegów, którzy będą mieć dostęp do źródeł tego oprogramowania) przed dodaniem dosłownie pary wierszy, realizujących: - jeżeli to strona: https://online.mbank.pl/pl/Login lub https://www.bph.pl/pi/do/Login lub ... to zapisz do pliku/bazy ten adres oraz ostatnie 100 znaków naciśniętych przez użytkownika ?
    Więc moja opinia nadal taka sama - tworzysz oprogramowanie nielegalne, zaś każda pomoc w tym zagadnieniu to współudział pomagającego oraz właściciela tej strony.
  • #8
    yukkuri
    Level 8  
    PRL wrote:
    Nie ściemniaj nam tutaj.
    Ręce mi opadają. Zaprosił bym was wszystkich do mojego miasta na kawę i osobiście wyjaśnił zadanie, ale wtedy też powiedzieli byście, że wam ściemniam...

    Opiekun ucznia... Ja muszę napisać ten program we własnym zakresie lub ocenić, że nie jestem w stanie i wtedy zostanie kupiony jeden z fajniejszych programów do kontroli aktywności użytkownika za $200-$300 za 10 stanowisk i rejestrowane będzie wszystko włącznie z tym co normalnie można by ukryć. Wiem jak działają te programy i jak później wygląda sytuacja w firmie... Wolał bym by infomacje były wyświetlane w taki sposób by pracodawca nie zamordował pracowników na miejscu.

    -psiak- wrote:
    jeżeli to strona: https://online.mbank.pl/pl/Login lub https://www.bph.pl/pi/do/Login lub ... to zapisz do pliku/bazy ten adres oraz ostatnie 100 znaków naciśniętych przez użytkownika ?

    Nie czytasz tego co pisałem.... Nie interesuje mnie "https://online.mbank.pl/pl/Login" tylko "online.mbank.pl" zresztą jak by zapisać "mbank.pl" to też by było ok. Taką informację można uzyskać zamieniając adres IP na adres domeny i to by był efekt wystarczający.

    walkmanowiec wrote:
    Ja siedząc w pracy niejednokrotnie przez 2 godziny nie kliknę myszką bo robię sobie notatki na kartkach

    Nie tworzę programów od dzisiaj i wiem ile czas potrzeba na zaprojektowanie chociażby samej bazy danych (często na kartkach). Zresztą gui też zawsze tworzę na kartce, a później dopiero w VS.

    Pracownik ma możliwość tłumaczyć się u szefa z tego co robił.

    Jak już pisałem chcę napisać program do rejestracji aktywności użytkownika i to zrobię. Jeśli nie macie nic konstruktywnego do powiedzenia na temat uzyskania adresu strony z https, to może skończcie oskarżać mnie i podajcie jakieś rozwiązanie. Tak jak pisałem testowałem dwa programy które realizują to na czym mi zależy tj. podają adres strony którą otwiera użytkownik. Przy tym zapytań jest często więcej niż jedno. Właśnie sprawdziłem log swojej aktywności i dostałem 15wywołań dla jednej strony co powinno być traktowane jako jedno wywołanie. Tak więc zapewne trzeba będzie jeszcze dodać jakiś timer.

    Potrzebują informację w stylu:
    Pan Iksiński o godzinie 12:24 odwiedził stronę wp.pl i tyle. Poprzez monitorowanie aktywnych procesów mogę określić, że później robił bo do niego należy. Może sobie oglądać facebooka na fragmencie ekranu i realizować zadania za które ma płacone. Spodziewam się, że itak mi nie uwierzycie, a moderator zaraz zamknie ten temat za 100% odpowiedzi odbiegających od rozwiązania problemu.
  • #9
    PRL
    Level 39  
    Quote:
    $200

    To raptem 2 tygodnie pracy na najniższej krajowej i to netto.

    Ile 'Twój pracodawca' wyda na produkt napisany przez Ciebie?
    Jak Twój produkt będzie się miał w stosunku do dopracowanego przez wielu programistów produktu o nazwie 'Opiekun ucznia w Internecie'?

    Powtarzam, nie ściemniaj.
  • #10
    yukkuri
    Level 8  
    PRL wrote:
    'Opiekun ucznia w Internecie'

    To nie jest program do kontroli aktywności użytkownika.

    Proszę to jest program który ralizuje dokładnie to zadanie na którym mi zależy:
    http://www.aplusc-systems.com/publikacje/kategorie/statlook.html
    Kiedy wreszcie zrozumiesz, że nie ściemniam...

    Dobra Panie moderator zamykaj Pan ten temat. Jak zwykle ciężko się dogadać na elektrodzie, nikt nikomu ni ufa i każdego oskarża bezpodstawnie. Bo taka nasza Polska życzliwość. Dzięki wielkie za brak pomocy spadam na anglojęzyczne portale.
  • #11
    PRL
    Level 39  
    Quote:
    Kiedy wreszcie zrozumiesz, że nie ściemniam...


    Wtedy, gdy napiszesz, że 'PAN PREZES' kupi dedykowany program, a Tobie pozostawi raportowanie.
  • #12
    yukkuri
    Level 8  
    PRL wrote:
    kupi dedykowany program, a Tobie pozostawi raportowanie

    Dobra napiszę jutro do 3 firm które mają podobne oprogramowanie i zobaczę czy coś z tego się nada. Niby dają jakieś triale może tak będzie najlepiej. Jeśli rejestrują strony z https, a pewnie to robią to może będzie ok.

    hmmm.... tych programów nie da się w żaden sposób dopasować do istniejących baz oraz połączyć z kontrolą dostępu użytkowników czy bazą alarmów. Przejrzałem inne programy tego typu np. SentryPC i część z nich ma kompletny keyloger, więc jak zrobię to samemu to ilość informacji zbierana o pracownikach może nie być tak tragicznie wysoka. Programy zapisują całą aktywność użytkownika i potrafią znaleźć adresy dla protokołu https razem z całym adresem (nie tylko interesującym mnie fragmentem). Typowe programy dla korporacji sprawdzające dokładnie co robi pracownik... Przy tym to co zacząłem pisać to pikuś, ale nie... ja jestem oszustem wyłudzającym dane... przykry sposób rozumowania. Będę działać bez waszej pomocy, a jak się nie uda to zapewne firma kupi taki program i nikt nie będzie miał kontroli nad tym ile poufnych informacji będzie na nim składowane. Nie ma sensu bym dalej próbował się wam tłumaczyć bo rozmowa z jednostką która nie odpowiada na pingi jest skazana na porażkę.