VPN を使用しているときに HTTP Web ページに登録しても安全ですか?

tag-icon tag-icon vpn http https
VPN を使用しているときに HTTP Web ページに登録しても安全ですか?

私は登録(アカウント作成/ログイン)のみを行います翻訳しかし、今登録したいウェブページはHTTPSを使用していません。会社のVPNに接続している場合、HTTPSのみを使用するウェブページで登録しても安全でしょうか?ウェブ?

答え1

会社の VPN では、自分のコンピューターから登録したい Web サイトへのデータは暗号化されません。自分のコンピューターから会社の VPN サーバーへのデータのみが暗号化されます。

HTTPSは(正しく使用すれば)あなたのマシンからウェブサイトへのデータが安全であり、あなたが詐欺の被害者にならないことを保証します。中間者攻撃

それで、それは安全でしょうか? 「おそらく」(ただし、VPN とは関係ありません)、VPN サーバーから Web サイトに到達する途中でアカウント/パスワード情報が盗まれる可能性は常にあります。

答え2

ページに入力した詳細が暗号化されずに送信されることを心配しているのだと思います。

会社の VPN は、ユーザーと VPN サーバー間の接続を保護します。ユーザーのコンピューターが接続を開くのではなく、VPN サーバーが HTTP ページ/サーバーとの間で暗号化されていない接続を開く必要があります。

企業のインターネット接続は消費者向けよりもセキュリティがしっかりしているので、少しだけ安全かもしれませんが、それでもあなたの情報は暗号化されずに送信され、中間者攻撃

答え3

他の回答に対する私のコメントがかなり長くなってきたので、分けて書くことにしました。

OP が指定していない問題の接続の正確な詳細を知らなければ、企業の VPN 接続が Web サーバーへの SSL と同等のセキュリティを提供するかどうかに答えることは不可能です。

ただし、一般的な参考として、検討すべき主なシナリオが 2 つあります。

1)ユーザーが企業ネットワークへのVPN接続を使用して接続する場合企業ネットワーク外の暗号化されていない公開ウェブサイト提供されるセキュリティは、企業ネットワークから暗号化されていない同じ Web サイトに直接アクセスする場合と同等です。

デバイスと企業ネットワーク間の通信の傍受は防止されますが、企業ネットワークとパブリック Web サーバー間の傍受は防止されません。セキュリティの程度は、企業ネットワークとパブリック Web サーバーの接続をどの程度信頼するかによって異なります。

いずれにせよ、適切に構成されたHTTPS接続をパブリックウェブサーバーに直接接続するよりも安全性が低いクライアントデバイスから。

ただし、このメカニズムは、たとえば暗号化されていないパブリック ホットスポットやその他の信頼できない ISP を使用している場合に、ローカル接続での盗聴から保護します。

2)ユーザーが企業ネットワークへのVPN接続を使用して暗号化されていないネットワークに接続している場合企業ネットワーク上のリソースVPN サーバーの背後、または VPN サーバー自体に配置すると、ターゲット ネットワーク自体までの接続が保護されます。

これにより、問題の Web サーバーに対する HTTPS とほぼ同等の保護が提供されます。

ysdx の回答は最初のポイントをよく表していますが、HTTP サーバーの後のすべてが省略されています。

ウェブサーバーへの完全に暗号化された HTTPS 接続は、シナリオ 2 の企業 VPN と同様に、ウェブページのソースに対する完全なセキュリティを保証するものではありません。

HTTPS は、2 つの TCP エンドポイント間のセキュリティを保証します。VPN は、2 つの TCP エンドポイント間のセキュリティを保証します。どちらの場合も、エンドポイントはユーザーの PC と、他のサーバーの企業/内部ネットワークのエッジにあるサーバーです。そのエッジの後に起こることは、どちらの方法でも保護されません。

多くの人は、HTTPS セッション中に接続する HTTPS ウェブサーバーは、多くの大規模 Web サイトの場合、表示している Web ページが属するサーバーではないことを忘れています。これが発生する理由は多数ありますが、次のとおりです。

1) ロード バランサー。多くの場合、Web ページのコンテンツを実際に提供するさまざまなコンテンツ サーバーに、企業 LAN 経由で暗号化されていないネットワーク接続が行われます。

2) リバース プロキシ、NAT など。これも暗号化されずに接続を企業 LAN 上の任意のサーバーや他の公開 Web サイトに転送します。

3) キャッシュ サーバーまたは CloudFlare などの DDoS 保護サービス。これらの一部はパブリック インターネット上で動作しますが、コンテンツを実際に提供するために接続を別の会社のサーバーに転送します (通常は 2 番目の暗号化接続または VPN 経由)。

4) データベースまたは NAS/SAN バックエンド。Web サーバーは、企業の LNA を介して別のサーバーへの暗号化されていない接続を使用して、Web サイトのコンテンツを取得します。

これらすべてのケースにおいて、Web セッションのセキュリティは、企業 VPN の背後にある企業サーバーに接続する場合とまったく同じように、HTTPS「ゲートウェイ」の背後にある企業 LAN のセキュリティに依存します。

答え4

いいえ、VPN を使用しても VPN トラフィックは安全になりません。VPN トンネル (VPN サーバーと HTTP サーバーの間) から出ると、トラフィックは (一般的に) 暗号化されません。

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

したがって、VPN サーバーと HTTP サーバー間のパスが何らかの理由で「安全」であると想定した場合のみ安全です (同じホストであり、VPN を使用しているなど)。

関連情報