Sì, potrebbe essere uno svantaggio. Ciò che si riduce a è quanto ti fidi del provider VPN.
Per i protocolli più sicuri, l'utilizzo di una VPN sarà altrettanto sicuro perché le comunicazioni sono crittografate dal protocollo. Se ci fosse un MITM all'altra estremità della connessione VPN, non sarebbero in grado di fare molto (a parte un attacco di canale laterale , che di solito sono abbastanza inutili in isolamento). Naturalmente, si presume che i protocolli e il software siano sicuri e non possono essere influenzati dall'attacco FREAK o da altri attacchi di downgrade .
Tuttavia, il web è diverso. Il problema principale è che la Stessa politica di origine non designa un'origine diversa per plain vs encrypted dove sono interessati i cookie. Un cookie impostato su http://example.com
può essere letto da https://example.com
. Se ci sono alcune vulnerabilità di gestione dei cookie sul sito, la connessione "sicura" potrebbe essere compromessa. La Bandiera protetta non aiuta qui - questo impedisce solo una semplice connessione HTTP di leggere un set di cookie su HTTPS, non viceversa. Un esempio potrebbe essere l'avvelenamento da cookie come la fissazione della sessione, o se esiste una vulnerabilità XSS in base a un valore del cookie che si presumeva fosse solo imposta tramite HTTPS . Queste sono davvero vulnerabilità sui siti stessi, tuttavia l'utilizzo di una connessione non sicura consente loro di essere sfruttate.
Quindi, se c'è qualche dubbio sulla fiducia del tuo provider VPN, allora disabilita il semplice HTTP dal tuo browser e usa solo Internet su HTTPS. Puoi farlo impostando un server proxy non valido per HTTP semplice (ad esempio 127.0.0.1:8
).
Naturalmente, dovresti assicurarti di utilizzare un protocollo sicuro anche per la tua connessione VPN (ad es. MS PPTP ). Inoltre, assicurati di utilizzare iptables / Windows Firewall correttamente per impedire qualsiasi connessione in entrata alla tua macchina mentre sei connesso alla VPN.