É seguro registrar-se em uma página HTTP quando uso VPN?

tag-icon tag-icon vpn http https
É seguro registrar-se em uma página HTTP quando uso VPN?

Eu só me registro (crio uma conta/login) emHTTPSpaginas web. No entanto, uma página da Web que eu queria registrar agora não usa HTTPS. Gostaria de saber se estou conectado à VPN da minha empresa. É seguro registrar-se em uma página da Web que usa apenasHTTP?

Responder1

A VPN da sua empresa NÃO criptografará os dados do seu computador para o site que você deseja registrar, apenas os dados do seu computador para o servidor VPN da sua empresa.

HTTPS (se usado corretamente) garante que os dados da sua máquina para o site estejam seguros e que você não seja vítima de umataque man-in-the-middle.

Então. É seguro? "Talvez" (mas não tem nada a ver com sua VPN), você sempre pode ter suas informações de conta/senha roubadas no caminho do servidor VPN para o site.

Responder2

Acho que você está preocupado com o fato de os detalhes inseridos na página serem enviados sem criptografia.

A VPN da empresa protegerá a conexão entre você e o servidor VPN. O servidor VPN ainda terá que abrir uma conexão não criptografada entre ele e a página/servidor HTTP, em vez de seu computador abrir a conexão sozinho.

Talvez seja um pouco mais seguro, já que uma conexão corporativa à Internet é melhor protegida do que uma conexão de consumidor, mas suas informações ainda são enviadas sem criptografia e ainda estão sujeitas ahomem do meio.

Responder3

Como meus comentários sobre outras respostas estão ficando muito longos, resolvi separá-los:

É impossível responder se uma conexão VPN corporativa oferece segurança equivalente em comparação ao SSL para um servidor web sem conhecer as especificações exatas da conexão em questão, que o OP não especificou.

No entanto, como referência geral, existem dois cenários principais a serem observados:

1)SE um usuário estiver usando uma conexão VPN com uma rede corporativa para se conectarsites públicos não criptografados fora da rede corporativa, então a segurança oferecida equivale ao acesso direto ao mesmo site não criptografado da rede corporativa.

Isso impedirá a interceptação de comunicações entre o seu dispositivo e a rede corporativa, mas não protegerá contra a interceptação entre a rede corporativa e o servidor da Web público. O quão seguro é depende de quanto você confia na conexão da sua rede corporativa com o servidor público.

Em qualquer caso serámenos seguro do que uma conexão HTTPS configurada corretamente, direta ao servidor públicodo seu dispositivo cliente.

No entanto, este mecanismo protegerá contra espionagem na sua conexão local se, por exemplo, você estiver usando um hotspot público não criptografado ou outro ISP não confiável.

2)SE um usuário estiver usando uma conexão VPN com uma rede corporativa para se conectar a redes não criptografadasrecursos na rede corporativaatrás do servidor VPN ou no próprio servidor VPN, ele estará protegendo a conexão até a própria rede de destino.

Isso oferece proteção aproximadamente equivalente a HTTPS para o servidor da web em questão.

A resposta do ysdx ilustra bem o primeiro ponto, exceto que perde tudo depois do servidor HTTP.

Uma conexão HTTPS totalmente criptografada a um servidor web não garante uma conexão completamente segura à origem da página web, assim como uma VPN corporativa não garantiria no cenário 2.

HTTPS fornece uma garantia de segurança entre dois pontos finais TCP. A VPN fornece uma garantia de segurança entre dois terminais TCP. Em ambos os casos, os endpoints são o seu PC e um servidor na borda da rede corporativa/interna do outro servidor. O que acontece depois dessa borda NÃO é protegido por nenhum dos métodos.

Muitas pessoas esquecem que o servidor HTTPS ao qual você se conecta durante uma sessão HTTPS, no caso de muitos sites grandes, NÃO é o servidor de onde vem a página da Web que você está visualizando. As muitas razões pelas quais isso acontece incluem:

1) Balanceadores de carga, que geralmente terão conexão de rede não criptografada por meio de uma LAN corporativa para vários servidores de conteúdo que realmente servem o conteúdo da página da web.

2) Proxies reversos, NATs e assim por diante que encaminham sua conexão - novamente, sem criptografia, para servidores arbitrários na LAN corporativa ou até mesmo para outros sites públicos.

3) Servidores de cache ou serviços de proteção DDoS, como CloudFlare, alguns dos quais operam na Internet pública, mas encaminham sua conexão para um servidor de uma empresa diferente para realmente servir o conteúdo - geralmente por meio de uma segunda conexão criptografada ou VPN.

4) Bancos de dados ou backends NAS/SAN, onde o servidor web usa uma conexão não criptografada com outro servidor através do LNA corporativo para recuperar o conteúdo do site.

Em todos esses casos, a segurança da sua sessão web depende da segurança da LAN corporativa por trás do "gateway" HTTPS, exatamente da mesma forma que a conexão a um servidor corporativo por trás de uma VPN corporativa.

Responder4

Não, usar uma VPN não torna o tráfego VPN seguro. Ao sair do túnel VPN (entre o servidor VPN e o servidor HTTP) o tráfego (em geral) não é criptografado:

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

Portanto, só é seguro se você assumir que o caminho entre o servidor VPN e o servidor HTTP é "seguro" por algum motivo (é o mesmo host, usa VPN…).

informação relacionada