Я только регистрируюсь (создаю учетную запись / вход в систему) на веб-страницах HTTPS . Однако веб-страница, которую я хотел зарегистрировать сейчас, не использует HTTPS. Мне интересно, если я подключен к VPN моей компании, безопасно ли регистрироваться на веб-странице, которая использует только HTTP?
4 ответа
20
VPN вашей компании НЕ будет шифровать данные с вашего компьютера на сайт, который вы хотите зарегистрировать самостоятельно, только данные с вашего компьютера на VPN-сервер вашей компании.
HTTPS (при правильном использовании) гарантирует, что данные с вашего компьютера на веб-сайт безопасны, и что вы не являетесь жертвой атаки "человек посередине".
Так. Это безопасно? "Возможно" (но не имеет ничего общего с вашим VPN), вы всегда можете получить украденную информацию о вашей учетной записи / пароле по пути с вашего VPN-сервера на сайт.
7
Я полагаю, вы беспокоитесь о том, что данные, которые вы вводите на страницу, отправляются в незашифрованном виде.
Компания VPN будет защищать соединение между вами и сервером VPN. VPN-серверу все равно придется открывать незашифрованное соединение между собой и страницей / сервером HTTP, а не ваш компьютер, открывающий само соединение.
Может быть, это немного безопаснее, так как корпоративное интернет-соединение защищено лучше, чем потребительское, но ваша информация по-прежнему передается в незашифрованном виде и подвергается вмешательству.
3
Поскольку мои комментарии к другим ответам становятся довольно длинными, я решил выделить их:
Невозможно ответить, если корпоративное VPN-соединение обеспечивает эквивалентную безопасность по сравнению с SSL для веб-сервера, не зная точных особенностей рассматриваемого соединения, которые OP не указал.
Однако в качестве общего справочника можно рассмотреть два основных сценария:
1) Если пользователь использует VPN-подключение к корпоративной сети для подключения к незашифрованным общедоступным веб-сайтам за пределами корпоративной сети, то предлагаемая безопасность эквивалентна прямому доступу к тому же незашифрованному веб-сайту из корпоративной сети.
Это предотвратит перехват сообщений между вашим устройством и вашей корпоративной сетью, но не защитит от перехвата между вашей корпоративной сетью и общедоступным веб-сервером. Насколько это безопасно, зависит от того, насколько вы доверяете подключению вашей корпоративной сети к общедоступному веб-серверу.
В любом случае это будет менее безопасно, чем правильно настроенное HTTPS-соединение напрямую с общедоступным веб-сервером с вашего клиентского устройства.
Однако этот механизм защитит от перехвата вашего локального соединения, если, например, вы используете незашифрованную публичную точку доступа или другого ненадежного интернет-провайдера.
2) Если пользователь использует VPN-соединение с корпоративной сетью для подключения к незашифрованным ресурсам в корпоративной сети за VPN-сервером или на самом VPN-сервере, то он защищает соединение на всем пути к целевой сети. сам.
Это обеспечивает защиту, примерно равную HTTPS для рассматриваемого веб-сервера.
Ответ ysdx хорошо иллюстрирует первый пункт, за исключением того, что он пропускает все после HTTP-сервера.
Полностью зашифрованное HTTPS-соединение с веб-сервером не гарантирует полную безопасность источника веб-страницы, равно как и корпоративный VPN в сценарии 2.
HTTPS обеспечивает гарантию безопасности между двумя конечными точками TCP. VPN обеспечивает гарантию безопасности между двумя конечными точками TCP. В обоих случаях конечными точками являются ваш ПК и сервер на границе корпоративной / внутренней сети другого сервера. То, что происходит после этого ребра, НЕ защищено ни одним из методов.
Многие люди забывают, что веб-сервер HTTPS, к которому вы подключаетесь во время сеанса HTTPS, в случае многих крупных веб-сайтов НЕ является сервером, с которого вы просматриваете веб-страницу. Это происходит по многим причинам:
1) Балансировщики нагрузки, которые часто имеют незашифрованное сетевое соединение через корпоративную локальную сеть с различными контент-серверами, которые фактически обслуживают контент на веб-странице.
2) Обратные прокси-серверы, NAT и т.д., Которые пересылают ваше соединение - снова, в незашифрованном виде, на произвольные серверы в корпоративной локальной сети или даже на другие общедоступные веб-сайты.
3) Кэширующие серверы или службы защиты от DDoS, такие как CloudFlare, некоторые из которых работают в общедоступном Интернете, но перенаправляют ваше соединение на сервер другой компании для фактической передачи контента - обычно через второе зашифрованное соединение или VPN.
4) Базы данных или серверная часть NAS/SAN, где веб-сервер использует незашифрованное соединение с другим сервером через корпоративную LNA для извлечения контента для веб-сайта.
Во всех этих случаях безопасность вашего веб-сеанса зависит от безопасности корпоративной локальной сети за "шлюзом" HTTPS, точно так же, как и подключение к корпоративному серверу за корпоративной VPN.
1
Нет, использование VPN не делает VPN-трафик безопасным. При выходе из VPN-туннеля (между VPN-сервером и HTTP-сервером) трафик (в целом) не шифруется:
Unencrypted HTTP here
|
v
[ HTTP ]<--------------->[ HTTP ]
[ TCP ]<--------------->[ TCP ]
[ IP ]<->[ IP ]<->[ IP ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP ]<->[ TCP ]
[ IP ]<->[ IP ]
Client VPN server HTTP server
Так что это безопасно, только если вы предполагаете, что путь между сервером VPN и сервером HTTP по какой-то причине является "безопасным" (это тот же хост, который использует VPN…).