6

Я только регистрируюсь (создаю учетную запись / вход в систему) на веб-страницах HTTPS . Однако веб-страница, которую я хотел зарегистрировать сейчас, не использует HTTPS. Мне интересно, если я подключен к VPN моей компании, безопасно ли регистрироваться на веб-странице, которая использует только HTTP?

4 ответа4

20

VPN вашей компании НЕ будет шифровать данные с вашего компьютера на сайт, который вы хотите зарегистрировать самостоятельно, только данные с вашего компьютера на VPN-сервер вашей компании.

HTTPS (при правильном использовании) гарантирует, что данные с вашего компьютера на веб-сайт безопасны, и что вы не являетесь жертвой атаки "человек посередине".

Так. Это безопасно? "Возможно" (но не имеет ничего общего с вашим VPN), вы всегда можете получить украденную информацию о вашей учетной записи / пароле по пути с вашего VPN-сервера на сайт.

7

Я полагаю, вы беспокоитесь о том, что данные, которые вы вводите на страницу, отправляются в незашифрованном виде.

Компания VPN будет защищать соединение между вами и сервером VPN. VPN-серверу все равно придется открывать незашифрованное соединение между собой и страницей / сервером HTTP, а не ваш компьютер, открывающий само соединение.

Может быть, это немного безопаснее, так как корпоративное интернет-соединение защищено лучше, чем потребительское, но ваша информация по-прежнему передается в незашифрованном виде и подвергается вмешательству.

3

Поскольку мои комментарии к другим ответам становятся довольно длинными, я решил выделить их:

Невозможно ответить, если корпоративное VPN-соединение обеспечивает эквивалентную безопасность по сравнению с SSL для веб-сервера, не зная точных особенностей рассматриваемого соединения, которые OP не указал.

Однако в качестве общего справочника можно рассмотреть два основных сценария:

1) Если пользователь использует VPN-подключение к корпоративной сети для подключения к незашифрованным общедоступным веб-сайтам за пределами корпоративной сети, то предлагаемая безопасность эквивалентна прямому доступу к тому же незашифрованному веб-сайту из корпоративной сети.

Это предотвратит перехват сообщений между вашим устройством и вашей корпоративной сетью, но не защитит от перехвата между вашей корпоративной сетью и общедоступным веб-сервером. Насколько это безопасно, зависит от того, насколько вы доверяете подключению вашей корпоративной сети к общедоступному веб-серверу.

В любом случае это будет менее безопасно, чем правильно настроенное HTTPS-соединение напрямую с общедоступным веб-сервером с вашего клиентского устройства.

Однако этот механизм защитит от перехвата вашего локального соединения, если, например, вы используете незашифрованную публичную точку доступа или другого ненадежного интернет-провайдера.

2) Если пользователь использует VPN-соединение с корпоративной сетью для подключения к незашифрованным ресурсам в корпоративной сети за VPN-сервером или на самом VPN-сервере, то он защищает соединение на всем пути к целевой сети. сам.

Это обеспечивает защиту, примерно равную HTTPS для рассматриваемого веб-сервера.

Ответ ysdx хорошо иллюстрирует первый пункт, за исключением того, что он пропускает все после HTTP-сервера.

Полностью зашифрованное HTTPS-соединение с веб-сервером не гарантирует полную безопасность источника веб-страницы, равно как и корпоративный VPN в сценарии 2.

HTTPS обеспечивает гарантию безопасности между двумя конечными точками TCP. VPN обеспечивает гарантию безопасности между двумя конечными точками TCP. В обоих случаях конечными точками являются ваш ПК и сервер на границе корпоративной / внутренней сети другого сервера. То, что происходит после этого ребра, НЕ защищено ни одним из методов.

Многие люди забывают, что веб-сервер HTTPS, к которому вы подключаетесь во время сеанса HTTPS, в случае многих крупных веб-сайтов НЕ является сервером, с которого вы просматриваете веб-страницу. Это происходит по многим причинам:

1) Балансировщики нагрузки, которые часто имеют незашифрованное сетевое соединение через корпоративную локальную сеть с различными контент-серверами, которые фактически обслуживают контент на веб-странице.

2) Обратные прокси-серверы, NAT и т.д., Которые пересылают ваше соединение - снова, в незашифрованном виде, на произвольные серверы в корпоративной локальной сети или даже на другие общедоступные веб-сайты.

3) Кэширующие серверы или службы защиты от DDoS, такие как CloudFlare, некоторые из которых работают в общедоступном Интернете, но перенаправляют ваше соединение на сервер другой компании для фактической передачи контента - обычно через второе зашифрованное соединение или VPN.

4) Базы данных или серверная часть NAS/SAN, где веб-сервер использует незашифрованное соединение с другим сервером через корпоративную LNA для извлечения контента для веб-сайта.

Во всех этих случаях безопасность вашего веб-сеанса зависит от безопасности корпоративной локальной сети за "шлюзом" HTTPS, точно так же, как и подключение к корпоративному серверу за корпоративной VPN.

1

Нет, использование VPN не делает VPN-трафик безопасным. При выходе из VPN-туннеля (между VPN-сервером и HTTP-сервером) трафик (в целом) не шифруется:

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

Так что это безопасно, только если вы предполагаете, что путь между сервером VPN и сервером HTTP по какой-то причине является "безопасным" (это тот же хост, который использует VPN…).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .