Für Ihren durchschnittlichen Heimanwender würden Dienste wie GMail (die über TLS ausgeführt werden) keine Informationen wie den Benutzernamen an den ISP oder den Netzwerkadministrator weitergeben.

Wenn Sie einen Computer verwenden, der dies auch ist Wenn Sie vom LAN-Administrator verwaltet werden (z. B. einem Arbeitscomputer, der an eine vom Unternehmen betriebene Domäne angeschlossen ist), müssen Sie davon ausgehen, dass er alles lesen kann, was Sie darauf tun. Sie verfügen möglicherweise über Software zum Protokollieren Ihrer Aktivitäten (Browsen und / oder Tastenanschläge) und haben möglicherweise zusätzliche SSL-Zertifikate installiert, mit denen sie Ihre Verbindung zu GMail (oder einer anderen Site) MITMIEREN können.

Wenn Sie Ihrer Meinung sind Der Computer wurde nicht manipuliert und wird nicht von jemandem kontrolliert, dem Sie nicht vertrauen (dh der LAN-Administrator kontrolliert Ihren Computer nicht). Anschließend können Sie über https eine Verbindung zu GMail herstellen. (Zu diesem Zeitpunkt entspricht der LAN-Administrator einem Angreifer im Internet.) Stellen Sie sicher, dass Sie mit einem gültigen Zertifikat eine Verbindung zu https://mail.google.com herstellen und dann den gesamten Datenverkehr zwischen Ihr Computer und die GMail-Server sind verschlüsselt. Dies würde alle Informationen zu Ihrem Konto einschließen, einschließlich des Benutzernamens, mit dem Sie angemeldet sind.

Um die Antworten von @ David und @ Steve zu ergänzen:

• Wenn der Angreifer (in Ihrem Fall "Adam") Administratorzugriff auf Ihren Computer hat, kann er alle Ihre Informationen erlernen Geheimnisse. Die Installation einer zusätzlichen Stammzertifizierungsstelle unter seiner Kontrolle, um die Routine MitM Interception auf Ihren SSL-Verbindungen auszuführen, ist ein beliebtes Tool für ehrliche (aber neugierige) Systemadministratoren: Zeitinstallation, die nicht durch Software-Updates gefährdet wird und keine Kompatibilitätsprobleme mit anderer Software wie Antivirus verursacht. Ein neugierigerer Systemadministrator, der möchte, dass seine Spionage diskret bleibt, hat jedoch viele andere Optionen, z. B. die Installation von Keyloggern, Bildschirmaufnahme-Tools und die allgemeine Plünderung der Daten direkt aus dem RAM des Computers.

• Wenn der Angreifer keinen Zugriff auf die Innereien Ihres Computers hat, sollte er von Ihrem SSL-Austausch ferngehalten werden. Er kann weiterhin feststellen, wann Sie eine Verbindung zu Google Mail herstellen, und die genaue Größe der mit Google Mail ausgetauschten Datenelemente beobachten. Er kann wahrscheinlich die Länge (in Zeichen) Ihrer Google Mail-Adresse ermitteln.

  Wie @Steve feststellt, ist eine Google Mail-Adresse nicht als Geheimnis konzipiert und wird durchgesickert viele Orte. In jedem Fall wird sie als E-Mail -Adresse notwendigerweise mit anderen Personen (denen, die E-Mails an Sie senden) geteilt und kann daher nicht als wirklich geheim angesehen werden.

  Wenn Sie sie verwenden Google+ (indiziert durch Ihre E-Mail-Adresse), der böse Systemadministrator bemerkt Ihre Aktivität und korreliert sie möglicherweise mit sichtbaren Aktivitäten auf einigen Kandidaten-Google+ Konten. Wenn er hinter Ihnen her ist, interessiert er sich für Sie und kann auch Engagement zeigen und Sie kompetent verfolgen.

Wie David sagt, kann der Anbieter Ihres Netzwerks normalerweise keine Daten sehen, die über https-Verbindungen übertragen werden.

Ihre Google Mail-Adresse wird jedoch nicht unbedingt nur über https-Verbindungen übertragen. Wenn Sie sich beispielsweise mit Ihrem geheimen Google Mail-Konto bei StackExchange anmelden und die http-Version (nicht https) Ihrer Benutzerprofilseite besuchen, wird Ihre Google Mail-Adresse im Inhalt dieser Seite ungesichert an Sie gesendet. Der Anbieter Ihrer Netzwerkverbindung könnte es dann sehen. Dies gilt möglicherweise auch für andere Websites, die https für die OAuth-Anmeldung verwenden, jedoch nicht für den gesamten Datenverkehr.

Wie user49372 hervorhebt, wenn Adam bereit ist, einen aktiven Mann bereitzustellen -in-the-Middle-Angriff, und wenn Sie sich mit Ihrer geheimen Google Mail-Adresse bei StackExchange anmelden, kann er Ihrem normalen http-Verkehr Inhalte hinzufügen, die Ihren Browser zur http-Version Ihrer StackExchange-Profilseite umleiten.

Ja, es gibt denkbare Möglichkeiten, wie Adam oder Ike es lernen könnten, selbst wenn sie nicht in Ihren Computer eingreifen oder die von https bereitgestellte Sicherheit auf andere Weise überwinden können.

Mit der Idee von Steve Jessops könnte Ihr Provider Iframes oder Weiterleitungen in Ihren normalen http-Verkehr einfügen, wodurch Ihr Profil beim Stapelaustausch ungesichert mit http oder einer anderen Seite geladen wird, die dasselbe tut.

Die einzige Antwort, die ich hier nicht gesehen habe, bezieht sich auf Unternehmensumgebungen wie meine, in denen die Unternehmenscomputer über einen Filter / Proxy auf das Netz zugreifen, mit dem die "Administratoren" den SSL-Verkehr überprüfen können Erzwingen, dass Clientcomputer dem SSL-Zertifikat des Webfilters / Webproxys vertrauen. Der Webfilter / Webproxy gibt sich dann als Client-Computer an Google (oder einen anderen Onlinedienst) aus, lädt den Inhalt herunter und gibt ihn dann an den Client-Computer zurück, indem er sich als Google (oder einen anderen Onlinedienst) an den Client ausgibt.

Dies ist in der Tat ein MITM-Angriff, aber es ist häufig genug, dass ich denke, dass er besonders erwähnt werden muss.

Wenn Sie über einen Proxy oder Filter auf das Netz zugreifen, der zur Überprüfung des SSL-Verkehrs eingerichtet ist , dann an Ihre Administratoren , alles, was über https getan wird, kann angezeigt werden, als ob es im Klartext gesendet wurde.