Saya hanya mendaftar (membuat akun / barang masuk) pada halaman web HTTPS . Namun, halaman web yang ingin saya daftarkan sekarang tidak menggunakan HTTPS. Saya bertanya-tanya apakah saya terhubung ke VPN perusahaan saya, apakah aman untuk mendaftar di halaman web yang hanya menggunakan HTTP ?
6
Jawaban:
VPN perusahaan Anda TIDAK akan mengenkripsi data dari komputer Anda ke situs web yang ingin Anda daftarkan sendiri, hanya data dari komputer Anda ke server VPN perusahaan Anda.
HTTPS (jika digunakan dengan benar) memastikan data dari mesin Anda ke situs web aman dan bahwa Anda bukan korban dari serangan orang di tengah .
Begitu. Apakah ini aman? "Mungkin" (tetapi tidak ada hubungannya dengan VPN Anda), Anda selalu bisa mendapatkan informasi akun / kata sandi Anda dicuri dalam perjalanan dari server VPN ke situs web.
sumber
Saya kira Anda khawatir tentang detail yang Anda masukkan ke halaman yang dikirim tidak terenkripsi.
VPN perusahaan akan mengamankan koneksi antara Anda dan server VPN. Server VPN masih harus membuka koneksi yang tidak dienkripsi antara dirinya dan halaman HTTP / server, alih-alih komputer Anda yang membuka koneksi itu sendiri.
Mungkin ini sedikit lebih aman, karena koneksi Internet perusahaan lebih terjamin daripada koneksi konsumen, tetapi informasi Anda masih belum terkirim dan tidak dapat dienkripsi dan masih dapat digunakan oleh orang lain .
sumber
Melihat komentar saya tentang jawaban lain sudah cukup lama saya pikir saya akan memisahkannya:
Tidak mungkin untuk menjawab jika koneksi VPN perusahaan menawarkan keamanan yang setara dibandingkan dengan SSL ke server web tanpa mengetahui spesifikasi pasti dari koneksi yang dimaksud, yang belum ditentukan oleh OP.
Namun sebagai referensi umum ada dua skenario utama untuk dilihat:
1) JIKA pengguna menggunakan koneksi VPN ke jaringan perusahaan untuk menghubungkan ke situs web publik yang tidak dienkripsi di luar jaringan perusahaan , maka keamanan yang ditawarkan setara dengan langsung mengakses situs web yang tidak dienkripsi yang sama dari jaringan perusahaan.
Ini akan mencegah intersepsi komunikasi antara perangkat Anda dan jaringan perusahaan Anda, tetapi tidak akan melindungi terhadap intersepsi antara jaringan perusahaan Anda dan server web publik. Seberapa aman itu tergantung pada seberapa besar Anda mempercayai koneksi jaringan perusahaan Anda ke server web publik.
Bagaimanapun, itu akan kurang aman daripada koneksi HTTPS yang dikonfigurasi dengan benar langsung ke server web publik dari perangkat klien Anda.
Namun mekanisme ini akan melindungi dari penyadapan terhadap koneksi lokal Anda jika misalnya Anda menggunakan hotspot publik yang tidak dienkripsi atau ISP lain yang tidak dipercaya.
2) JIKA pengguna menggunakan koneksi VPN ke jaringan perusahaan untuk menghubungkan ke sumber daya tidak terenkripsi di jaringan perusahaan di belakang server VPN, atau pada server VPN itu sendiri, maka itu melindungi koneksi sampai ke jaringan target diri.
Perlindungan penawaran ini kira-kira setara dengan HTTPS ke server web yang dimaksud.
Jawaban ysdx menggambarkan poin pertama dengan baik, kecuali ia melewatkan semuanya setelah server HTTP.
Koneksi HTTPS sepenuhnya terenkripsi ke server web tidak menjamin sepenuhnya aman untuk sumber halaman web seperti halnya VPN perusahaan dalam skenario 2.
HTTPS memberikan jaminan keamanan antara dua titik akhir TCP. VPN memberikan jaminan keamanan antara dua titik akhir TCP. Dalam kedua kasus, titik akhir adalah PC Anda, dan server di tepi jaringan perusahaan / internal server lainnya. Apa yang terjadi setelah tepi itu TIDAK dijamin dengan metode apa pun.
Banyak orang lupa bahwa server web HTTPS yang Anda sambungkan selama sesi HTTPS adalah, dalam kasus banyak situs web besar, BUKAN server berasal dari halaman web yang Anda lihat. Banyak alasan ini terjadi termasuk:
1) Muat penyeimbang, yang sering kali memiliki koneksi jaringan tidak terenkripsi melalui LAN perusahaan ke berbagai server konten yang benar-benar melayani konten di halaman web.
2) Membalikkan proxy, NAT, dan sebagainya yang meneruskan koneksi Anda - sekali lagi, tidak terenkripsi, ke server sewenang-wenang di LAN perusahaan atau bahkan situs web publik lainnya.
3) Caching server atau layanan perlindungan DDoS seperti CloudFlare, beberapa di antaranya beroperasi di internet publik tetapi meneruskan koneksi Anda ke server perusahaan lain untuk benar-benar melayani konten - biasanya melalui koneksi terenkripsi kedua atau VPN.
4) Databases atau NAS / SAN backends, di mana server web menggunakan koneksi yang tidak terenkripsi ke server lain melalui LNA perusahaan untuk mengambil konten untuk situs web.
Dalam semua kasus ini, keamanan sesi web Anda bergantung pada keamanan LAN perusahaan di belakang "gateway" HTTPS, dengan cara yang persis sama dengan menghubungkan ke server perusahaan di belakang VPN perusahaan.
sumber
Tidak, menggunakan VPN tidak membuat lalu lintas VPN aman. Saat keluar dari terowongan VPN (antara server VPN dan server HTTP) lalu lintasnya (secara umum) tidak dienkripsi:
Jadi itu hanya aman, jika Anda berasumsi bahwa jalur antara server VPN dan server HTTP adalah "aman" karena beberapa alasan (ini adalah host yang sama, ia menggunakan VPN ...).
sumber