¿El uso de VPN públicas expondrá mi información de usuario a los propietarios de VPN?

1

Estoy accediendo a Google Play Store desde un software VPN que supuestamente enmascarará mi IP para que parezca que estoy en los EE. UU. (Por restricciones de país). Mi pregunta es: ¿iniciar sesión en Google o en cualquier sitio web para ese asunto, mientras esté conectado a través de VPN, expondrá mi información de usuario (correo electrónico y contraseña) a los propietarios de VPN de una manera u otra? Si es así, ¿hay algún paso que pueda hacer para evitar eso mientras sigo usando la VPN?

security vpn proxy user-accounts Hélice
fuente

Respuestas:

3

Eso depende del tipo de conexión.

  • Cualquier información enviada encriptada no puede ser leída por ninguna computadora en la ruta de rastreo, excepto, por supuesto, el punto final. No importa qué tipo de conexión a Internet use. Eso incluye VPN.

    Entonces, si el sitio web que está visitando usa HTTPS, el proveedor de VPN no tendrá acceso a su información personal.

  • Sin embargo, si el sitio web requiere información enviada en texto sin formato, el proveedor de VPN debe enviar esa información sin cifrar y, por lo tanto, debe tener acceso a ella.

    Si el sitio web que está visitando utiliza HTTP, el proveedor de VPN tiene acceso a su información personal.

No hay nada especial sobre las VPN a este respecto. Cada conexión no encriptada permite que cada computadora en la ruta de rastreo la huela. Su conexión a la VPN siempre debe estar encriptada, pero eso no importa si la conexión entre la VPN y el sitio web no lo está.

Dennis
fuente
Entonces, si lo entendí correctamente, siempre que el sitio web use el protocolo https, estoy a salvo de espiar. ¿Correcto? No estoy seguro de haber entendido esta parte "si el sitio web requiere información enviada en texto sin formato". ¿Hay casos en que un sitio web seguro solicita que se envíe información en texto sin formato?
Hélice
[I] f el sitio web requiere que la información enviada en texto sin formato se refiera al segundo caso. No puede enviar información cifrada a través de HTTP, por ejemplo. Si su navegador muestra un https: // en la barra de direcciones, la información debe enviarse encriptada. Lo importante aquí es el protocolo del destino. Por ejemplo, es posible incrustar un formulario con una acción HTTP en una página recuperada a través de HTTPS. Eso, sin embargo, no tiene sentido y es muy poco probable que suceda.
Dennis
Solo asegúrese de que el proveedor de VPN no requiera que instale un certificado de autoridad de certificación en su navegador web. Si lo hacen, pueden realizar un ataque sin interrupciones de Man in the Middle contra usted fingiendo estar en la cadena de firma de la solicitud original, pero en su lugar, negocian la solicitud en su nombre y pueden ver ambos extremos sin cifrar. Por esta razón, generalmente es una mala idea instalar software personalizado para usar una VPN pública; puede "introducir" un certificado de este tipo. En su lugar, descargue un software VPN estándar como OpenVPN y configúrelo usted mismo.
allquixotic
Buen punto, @allquixotic. Tampoco hay nada especial sobre las VPN a este respecto. No siempre instalar un certificado autofirmado que no se inscribió a sí mismo.
Dennis
Además, toda la idea de una VPN pública me asusta. Si realmente necesita una VPN, aprovisione usted mismo pagando un servidor privado virtual: son muy asequibles, especialmente si va con un proveedor de la nube que le cobra por hora ... simplemente apáguelo cuando esté durmiendo y ahorrarás un montón de dinero.
allquixotic
0

Muchos sitios web (y servicios no basados ​​en HTTP, como los juegos) que requieren algún tipo de autenticación, no requieren ni permiten el cifrado. Ejemplos comunes en los que no se utiliza cifrado para la autenticación:

  • IRC (algunas redes admiten SSL, pero una minoría muy pequeña de redes / usuarios en realidad lo utilizan)
  • Servidores de juegos multijugador a través de UDP, por ejemplo MMORPG, juegos de disparos en primera persona, etc.
  • La mayoría de los sitios web de "foros" que no recopilan información de tarjetas de crédito no utilizan ningún tipo de cifrado (puede verlo en httplugar de httpsen la barra de direcciones)
  • Superusuario y los sitios web de intercambio de pila en general

Incluso si una cuenta comprometida en uno de estos servicios no es particularmente dañina para usted, debe tener mucho cuidado: si su dirección de correo electrónico y / o contraseña utilizada son similares o idénticas a las contraseñas que usa en sitios web valiosos (Amazon, su banco, su correo electrónico, etc.), entonces enviar esas valiosas contraseñas en claro es un gran riesgo.

Personalmente, utilizo una contraseña única y, a menudo, una dirección de correo electrónico diferente para cada servicio que utilizo y que está relacionada de alguna manera con mis finanzas, negocios o información de identificación personal (número de seguro social, fecha de nacimiento, etc.). Para sitios web menos significativos como foros, a veces uso la misma contraseña, pero solo superpongo las contraseñas entre cuentas igualmente sin sentido, no entre valiosas y no valiosas.

Google Play en particular debería usar SSL, porque Google ha adoptado una política de que SSL está habilitado de forma predeterminada cada vez que se conecta a Google con un servicio que involucra su cuenta de Google. Esa es una decisión bastante obvia y justificable: básicamente, la forma en que las personas están vinculadas a Google en estos días, el acceso a una cuenta de Google significa que obtienes acceso a su correo electrónico, sus documentos, sus aplicaciones compradas, su historial de compras e incluso puedes hacer cosas como comprar aplicaciones y usarlas, o comprar cosas a través de Google Checkout y que se las envíen. Por lo tanto, lo que está en juego es lo suficientemente alto como para que tenga que esforzarse bastante para acceder a cualquier servicio autenticado por Google a través de HTTP regular en estos días.

Si se apega a la vieja web (todo terminado httpo httpssin juegos en línea o aplicaciones personalizadas que no usan una interfaz de navegador web), puede saber fácilmente si la conexión es "inestable", siempre que no No estar sujeto a un hombre de autoridad de certificación en el medio del ataque: solo solicite a su navegador más información sobre la httpsconexión encriptada y asegúrese de que la cadena de certificados sea de su confianza (debe consistir en CA raíz verificables públicamente en las que pueda verificar buscando en Google sus nombres). La forma de obtener más información sobre su conexión https depende del navegador web, pero generalmente implica hacer clic en el icono de un candado o hacer clic en la barra de direcciones.

allquixotic
fuente
Por cierto, Superuser y otros sitios de SE utilizan SSL para enviar la contraseña cuando inician sesión. La página de inicio de sesión contiene un marco en línea que apunta con la fuente https://openid.stackexchange.com. Sin embargo, su dirección de correo electrónico queda expuesta si visita su perfil.
Dennis
Pero todavía envían cookies autenticadas de forma clara. Alguien podría hacerse pasar por usted si pudiera ver el tráfico de su red a nivel de IP porque usted envía sus cookies con cada solicitud GET / POST. Absolutamente tiene que ser así; ¿De qué otra forma SE sabría que en realidad eres tú? De todos modos, no es un gran problema siempre y cuando su cuenta SE no implique algún tipo de privilegio administrativo loco como un estado de moderador o Jeff Atwood o algo así.
allquixotic