Apakah aman untuk mendaftar pada halaman web HTTP ketika saya menggunakan VPN?

6

Saya hanya mendaftar (membuat akun / barang masuk) pada halaman web HTTPS . Namun, halaman web yang ingin saya daftarkan sekarang tidak menggunakan HTTPS. Saya bertanya-tanya apakah saya terhubung ke VPN perusahaan saya, apakah aman untuk mendaftar di halaman web yang hanya menggunakan HTTP ?

whiteSkar
sumber
2
Saya tidak akan mempercayai sebuah halaman, yang belum mengatur https untuk prosedur masuk / daftar ...
Mathias Vonende
6
Definisikan "safe" ..
Lightness Races in Orbit
2
Anda akan aman terhadap serangan man-in-the-middle antara jaringan Anda dan jaringan penyedia VPN Anda
TaXXoR
3
Yang lain telah menyebutkan bahwa Anda masih rentan antara host jarak jauh dan penyedia VPN Anda. Tapi ada lagi: HTTPS menjamin enkripsi ujung ke ujung antara dua host. Tanpa HTTPS, penyedia VPN Anda dapat melihat lalu lintas plaintext Anda (termasuk info akun, dll.) - jadi Anda juga harus bertanya apakah Anda mempercayai penyedia VPN Anda.
Bob
1
Psst, Situs web yang Anda gunakan saat ini tidak menggunakan HTTPS untuk masuk! Tapi itu aman karena melepaskan risiko yang ke layanan OAuth seperti Google.
SnakeDoc

Jawaban:

20

VPN perusahaan Anda TIDAK akan mengenkripsi data dari komputer Anda ke situs web yang ingin Anda daftarkan sendiri, hanya data dari komputer Anda ke server VPN perusahaan Anda.

HTTPS (jika digunakan dengan benar) memastikan data dari mesin Anda ke situs web aman dan bahwa Anda bukan korban dari serangan orang di tengah .

Begitu. Apakah ini aman? "Mungkin" (tetapi tidak ada hubungannya dengan VPN Anda), Anda selalu bisa mendapatkan informasi akun / kata sandi Anda dicuri dalam perjalanan dari server VPN ke situs web.

Lenniey
sumber
Apakah keamanan terkait dengan VPN-nya tidak dapat ditentukan karena Anda tidak tahu di mana servernya. Itu bisa dihubungkan dengan aman ke server VPN atau bahkan server VPN itu sendiri. Banyak perusahaan menggunakan pengaturan seperti itu.
qasdfdsaq
@qasdfdsaq Meskipun demikian, selama situs web tidak menggunakan https, semua data dari VPN-endpoint ke server web tidak akan dienkripsi.
Lenniey
Tetapi jika itu mesin yang sama atau di jaringan perusahaan aman yang setara dengan HTTPS, dan sama sekali berbeda dengan mengirim data melalui jaringan publik. SSL TIDAK menjamin enkripsi ujung ke ujung ke sumber data aktual sehingga jika dia menggunakan HTTPS, semua data dari titik akhir HTTPS ke server web tidak akan dienkripsi. Front-end web HTTPS dapat (dan sering kali) meneruskan koneksi ke server lain yang benar-benar melayani halaman web melalui saluran yang tidak dienkripsi (mis. Kebanyakan penyeimbang beban) atau front cloud publik seperti CloudFlare atau bahkan hanya menggunakan pencarian SQL yang tidak terenkripsi
qasdfdsaq
7

Saya kira Anda khawatir tentang detail yang Anda masukkan ke halaman yang dikirim tidak terenkripsi.

VPN perusahaan akan mengamankan koneksi antara Anda dan server VPN. Server VPN masih harus membuka koneksi yang tidak dienkripsi antara dirinya dan halaman HTTP / server, alih-alih komputer Anda yang membuka koneksi itu sendiri.

Mungkin ini sedikit lebih aman, karena koneksi Internet perusahaan lebih terjamin daripada koneksi konsumen, tetapi informasi Anda masih belum terkirim dan tidak dapat dienkripsi dan masih dapat digunakan oleh orang lain .

JPain
sumber
3

Melihat komentar saya tentang jawaban lain sudah cukup lama saya pikir saya akan memisahkannya:

Tidak mungkin untuk menjawab jika koneksi VPN perusahaan menawarkan keamanan yang setara dibandingkan dengan SSL ke server web tanpa mengetahui spesifikasi pasti dari koneksi yang dimaksud, yang belum ditentukan oleh OP.

Namun sebagai referensi umum ada dua skenario utama untuk dilihat:

1) JIKA pengguna menggunakan koneksi VPN ke jaringan perusahaan untuk menghubungkan ke situs web publik yang tidak dienkripsi di luar jaringan perusahaan , maka keamanan yang ditawarkan setara dengan langsung mengakses situs web yang tidak dienkripsi yang sama dari jaringan perusahaan.

Ini akan mencegah intersepsi komunikasi antara perangkat Anda dan jaringan perusahaan Anda, tetapi tidak akan melindungi terhadap intersepsi antara jaringan perusahaan Anda dan server web publik. Seberapa aman itu tergantung pada seberapa besar Anda mempercayai koneksi jaringan perusahaan Anda ke server web publik.

Bagaimanapun, itu akan kurang aman daripada koneksi HTTPS yang dikonfigurasi dengan benar langsung ke server web publik dari perangkat klien Anda.

Namun mekanisme ini akan melindungi dari penyadapan terhadap koneksi lokal Anda jika misalnya Anda menggunakan hotspot publik yang tidak dienkripsi atau ISP lain yang tidak dipercaya.

2) JIKA pengguna menggunakan koneksi VPN ke jaringan perusahaan untuk menghubungkan ke sumber daya tidak terenkripsi di jaringan perusahaan di belakang server VPN, atau pada server VPN itu sendiri, maka itu melindungi koneksi sampai ke jaringan target diri.

Perlindungan penawaran ini kira-kira setara dengan HTTPS ke server web yang dimaksud.

Jawaban ysdx menggambarkan poin pertama dengan baik, kecuali ia melewatkan semuanya setelah server HTTP.

Koneksi HTTPS sepenuhnya terenkripsi ke server web tidak menjamin sepenuhnya aman untuk sumber halaman web seperti halnya VPN perusahaan dalam skenario 2.

HTTPS memberikan jaminan keamanan antara dua titik akhir TCP. VPN memberikan jaminan keamanan antara dua titik akhir TCP. Dalam kedua kasus, titik akhir adalah PC Anda, dan server di tepi jaringan perusahaan / internal server lainnya. Apa yang terjadi setelah tepi itu TIDAK dijamin dengan metode apa pun.

Banyak orang lupa bahwa server web HTTPS yang Anda sambungkan selama sesi HTTPS adalah, dalam kasus banyak situs web besar, BUKAN server berasal dari halaman web yang Anda lihat. Banyak alasan ini terjadi termasuk:

1) Muat penyeimbang, yang sering kali memiliki koneksi jaringan tidak terenkripsi melalui LAN perusahaan ke berbagai server konten yang benar-benar melayani konten di halaman web.

2) Membalikkan proxy, NAT, dan sebagainya yang meneruskan koneksi Anda - sekali lagi, tidak terenkripsi, ke server sewenang-wenang di LAN perusahaan atau bahkan situs web publik lainnya.

3) Caching server atau layanan perlindungan DDoS seperti CloudFlare, beberapa di antaranya beroperasi di internet publik tetapi meneruskan koneksi Anda ke server perusahaan lain untuk benar-benar melayani konten - biasanya melalui koneksi terenkripsi kedua atau VPN.

4) Databases atau NAS / SAN backends, di mana server web menggunakan koneksi yang tidak terenkripsi ke server lain melalui LNA perusahaan untuk mengambil konten untuk situs web.

Dalam semua kasus ini, keamanan sesi web Anda bergantung pada keamanan LAN perusahaan di belakang "gateway" HTTPS, dengan cara yang persis sama dengan menghubungkan ke server perusahaan di belakang VPN perusahaan.

qasdfdsaq
sumber
1

Tidak, menggunakan VPN tidak membuat lalu lintas VPN aman. Saat keluar dari terowongan VPN (antara server VPN dan server HTTP) lalu lintasnya (secara umum) tidak dienkripsi:

                 Unencrypted HTTP here
                          |
                          v
[ HTTP    ]<--------------->[ HTTP ]
[ TCP     ]<--------------->[ TCP  ]
[ IP      ]<->[ IP      ]<->[ IP   ]
[ OpenVPN ]<->[ OpenVPN ]
[ TCP     ]<->[ TCP     ]
[ IP      ]<->[ IP      ]
 Client       VPN server    HTTP server

Jadi itu hanya aman, jika Anda berasumsi bahwa jalur antara server VPN dan server HTTP adalah "aman" karena beberapa alasan (ini adalah host yang sama, ia menggunakan VPN ...).

ysdx
sumber