Безопасно ли регистрироваться на веб-странице HTTP, если я использую VPN?

tag-icon tag-icon vpn http https
Безопасно ли регистрироваться на веб-странице HTTP, если я использую VPN?

Я регистрируюсь (создаю учетную запись/логинюсь) только наHTTPSвеб-страницы. Однако веб-страница, которую я хотел зарегистрировать прямо сейчас, не использует HTTPS. Мне интересно, подключен ли я к VPN моей компании, безопасно ли регистрироваться на веб-странице, которая использует толькоHTTP?

решение1

VPN вашей компании НЕ будет шифровать данные с вашего компьютера на веб-сайте, который вы хотите зарегистрировать самостоятельно, а только данные с вашего компьютера на VPN-сервере вашей компании.

HTTPS (при правильном использовании) гарантирует безопасность данных, передаваемых с вашего компьютера на веб-сайт, и что вы не станете жертвойатака «человек посередине».

Итак. Безопасно ли это? «Возможно» (но это никак не связано с вашим VPN), вы всегда можете столкнуться с кражей информации о вашем аккаунте/пароле по пути от вашего VPN-сервера к веб-сайту.

решение2

Полагаю, вы обеспокоены тем, что данные, которые вы вводите на странице, будут отправлены в незашифрованном виде.

VPN компании защитит соединение между вами и VPN-сервером. VPN-серверу все равно придется открыть незашифрованное соединение между собой и HTTP-страницей/сервером, вместо того, чтобы ваш компьютер сам открывал соединение.

Возможно, это даже немного безопаснее, поскольку корпоративное интернет-соединение защищено лучше, чем потребительское, но ваша информация все равно передается в незашифрованном виде и по-прежнему подлежитчеловек-по-середине.

решение3

Поскольку мои комментарии к другим ответам становятся довольно длинными, я решил выделить этот:

Невозможно ответить, обеспечивает ли корпоративное VPN-подключение эквивалентную безопасность по сравнению с SSL для веб-сервера, не зная точных характеристик рассматриваемого соединения, которые автор публикации не указал.

Однако в качестве общей справки можно рассмотреть два основных сценария:

1)ЕСЛИ пользователь использует VPN-подключение к корпоративной сети для подключения кнезашифрованные общедоступные веб-сайты за пределами корпоративной сети, то предлагаемая безопасность эквивалентна прямому доступу к тому же незашифрованному веб-сайту из корпоративной сети.

Он предотвратит перехват связи между вашим устройством и вашей корпоративной сетью, но не защитит от перехвата между вашей корпоративной сетью и публичным веб-сервером. Насколько это безопасно, зависит от того, насколько вы доверяете подключению вашей корпоративной сети к публичному веб-серверу.

В любом случае это будетменее безопасно, чем правильно настроенное HTTPS-соединение напрямую с публичным веб-серверомс вашего клиентского устройства.

Однако этот механизм защитит от прослушивания вашего локального соединения, если, например, вы используете незашифрованную публичную точку доступа или другого ненадежного интернет-провайдера.

2)ЕСЛИ пользователь использует VPN-подключение к корпоративной сети для подключения к незашифрованномуресурсы в корпоративной сетиза VPN-сервером или на самом VPN-сервере, то он защищает соединение на всем пути до самой целевой сети.

Это обеспечивает защиту, примерно эквивалентную HTTPS для рассматриваемого веб-сервера.

Ответ ysdx хорошо иллюстрирует первый пункт, за исключением того, что в нем упущено все, что находится после HTTP-сервера.

Полностью зашифрованное HTTPS-соединение с веб-сервером не гарантирует полной безопасности источника веб-страницы, как и корпоративный VPN в сценарии 2.

HTTPS обеспечивает гарантию безопасности между двумя конечными точками TCP. VPN обеспечивает гарантию безопасности между двумя конечными точками TCP. В обоих случаях конечными точками являются ваш ПК и сервер на границе корпоративной/внутренней сети другого сервера. То, что происходит после этой границы, НЕ защищено ни одним из методов.

Многие забывают, что HTTPS-сервер, к которому вы подключаетесь во время HTTPS-сессии, в случае многих крупных веб-сайтов — это НЕ сервер, с которого приходит просматриваемая вами веб-страница. Это происходит по многим причинам:

1) Балансировщики нагрузки, которые часто имеют незашифрованное сетевое соединение через корпоративную локальную сеть с различными серверами контента, которые фактически обслуживают контент на веб-странице.

2) Обратные прокси-серверы, NAT и т. д., которые перенаправляют ваше соединение (опять же, незашифрованное) на произвольные серверы в корпоративной локальной сети или даже на другие общедоступные веб-сайты.

3) Кэширующие серверы или службы защиты от DDoS-атак, такие как CloudFlare, некоторые из которых работают в общедоступном Интернете, но перенаправляют ваше соединение на сервер другой компании для фактического предоставления контента — обычно через второе зашифрованное соединение или VPN.

4) Базы данных или бэкэнды NAS/SAN, где веб-сервер использует незашифрованное соединение с другим сервером через корпоративный LNA для извлечения контента для веб-сайта.

Во всех этих случаях безопасность вашего веб-сеанса зависит от безопасности корпоративной локальной сети за «шлюзом» HTTPS, точно так же, как и при подключении к корпоративному серверу за корпоративной VPN.

решение4

Нет, использование VPN не делает VPN-трафик безопасным. При выходе из VPN-туннеля (между VPN-сервером и HTTP-сервером) трафик (в общем случае) не шифруется:

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

Поэтому это безопасно только в том случае, если вы предполагаете, что путь между VPN-сервером и HTTP-сервером по какой-то причине «безопасен» (это один и тот же хост, он использует VPN…).

Связанный контент