WIFIセキュリティのためのVPN内のHTTPSまたはHTTPS？

Terry Chiaの回答に対する「セッションジャッキング」コメントについて：

セッションジャッキングとFiresheepが使用する手法は、共有ネットワーク接続、つまりWiFiを介して行われるHTTPサイトログインを対象とすることです。これは、正常なログインが行われた後にサイトが送信するセッションCookieをインターセプトすることによって達成されます。接続がSSL [別名HTTPS]を使用している場合、これらのCookieはサードパーティによって読み取ることができません。

ブラウザが「このページのすべてが安全ではない」と表示する場合、これは、一部のリソースがプレーンHTTP接続を介してロードされたことを意味します。これは必要に応じてではありません。これは通常、単に画像ファイルまたは含まれているCSS/JSファイルであるため、脆弱であることを意味します。

VPNに関しては、プロバイダーを信頼するのと同じだけVPN接続を信頼するべきです。つまり、HotSpotShieldなどの無料サービスを使用している場合は、送信するすべてのパケットを傍受できるようにしておくとよいでしょう。また、VPNクライアントソフトウェアをインストールするので、コンピューターに偽のルート/中間SSL証明書をインストールすることを妨げるものはありません。

要約すると、自分で設定していないVPNを使用せず、ログインと重要なデータがSSL/TLSで保護された接続（HTTPS、IMAPS、POPSなど）を介して送信されるようにすることをお勧めします。

（コメントで）リンクする質問 は、HTTPSの弱点については実際には話していません。電子メールの配布はHTTPSとは関係ありません。

代替のソリューションにジャンプする前に、HTTPSおよびSSL/TLSに関連する弱点を理解することが重要です。

• 再交渉の問題（CVE-2009-3555）は、TLSプロトコル自体にかなり直接関係していました。 （再ネゴシエーションを無効にすることにより）構成オプションを使用した緩和策があり、それ以降は修正されました（RFC 5746）。 （これは欠点ですが、一貫して悪用することはかなり困難でした。）

• [〜＃〜] crime [〜＃〜] の問題は、TLS圧縮を無効にすることで解決できます。

• BEASTの問題は、特にTLS 1.1以上にアップグレードするなど、さまざまな方法で軽減できます。

これらの問題のほとんどは、特定のアプリケーションがSSL/TLSライブラリを使用する方法で、いくつかの構成変更またはオプションの変更を必要とします。それでも、ソフトウェアに慣れていれば、大丈夫です。

SSL/TLSの仕様全体は非常にモジュール化されているため、たとえば特定の暗号スイートに特定の弱点が見つかった場合、他のオプションを利用できることがよくあります。セキュリティシステムには、最新の適切な構成が不可欠です。

実際に「SSLが壊れている」と言う人のほとんどは、PKIシステム（つまり、証明書モデル）をターゲットにしています。 TLS仕様は、実際にはX.509証明書の使用を義務付けていませんが、TLSを介したHTTPSはX.509証明書の使用を意味しています。

PKIと証明書は、リモートパーティのIDをチェックするためのものです。これは、日常生活で発生する問題（銀行があなたのIDを机で確認するなど）に対する技術的な解決策です。技術的な側面は問題の一部にすぎません。 CAは完璧とは言えませんが、管理しやすいシステムを提供します。信頼のモデリングは実際には非常に難しい問題です。

最終的に、HTTPSが使用され、適切なパーティで使用されていることを確認する クライアントとそのユーザーの責任です 。サーバーは、せいぜいクライアントにHTTPSを使用するように指示することができ、リダイレクトは保護されない場合があります。確認するのは常にユーザー次第です。 （確かに、GUIの問題でもあり、できるだけ混乱することなく、ユーザーに正しい情報を提供します。）

HTTPS（およびSSL/TLS）とVPNを比較しても意味がありません。これらのシステムには2つの異なる目的があります。 HTTPSは、クライアント/ブラウザとサーバー間の通信を保護することです。 VPNは、2つのサブネットワークをリンクすることです。

VPNテクノロジにはいくつかの長所と短所があります。すべてのセキュリティソリューションと同様に、効果を発揮するには、適切に構成および使用する必要があります。

• SSL/TLSを使用するVPN（OpenVPNと同様）：証明書の確認に関しては、原則としてHTTPSを使用したSSL/TLSと同じ問題が発生する可能性があります。これは、クライアント証明書認証がこの環境でより一般的であると言われています（これにより、MITM攻撃はサーバーによってSSL/TLSでも検出されます。これはHTTPSにも適用されますが、クライアント証明書はまれです）。

• IPsecと証明書を使用するVPN。繰り返しになりますが、本人確認も問題になります。これに対処する1つの方法は、IPsec実装によって信頼されるCA証明書の数を減らすことです。一般に、リモートWebサイトよりもVPNの使用数が少ないため、VPNの方が管理しやすくなりますが、根本的な問題は残ります。

• IPsecと共有シークレットを使用するVPN。共有シークレットがそれほど広く共有されていなかった場合（およびより多くの秘密が維持された場合）、これは正常に機能します。一部の大学（たとえば）は、VPN共有秘密を広く公開しているようです。これは、潜在的に MITM攻撃への扉を開く の可能性があります。

証明書を適切に確認した場合、HTTPS接続でVPNを追加しても、通常は実際のセキュリティは追加されません。信頼できるCA（喜んでまたはデフォルトでOS /ブラウザーで）が侵害され、VPNで保護されている可能性のあるネットワークのセクションで不正な証明書が使用される可能性がある場合に役立つ小さなウィンドウがあります。これは 不適切に実装されたクライアント のあるネットワークのセクションにも役立ちます。

あなたはあなたが言及したテクノロジーを理解していません。

まず、公共のwifiネットワークでのネットサーフィンの脅威を特定しましょう。あなたと同じネットワーク上にいる人なら誰でも、あなたが送るパケットを盗聴することができます。つまり、公共のWi-Fiネットワーク経由で送信する暗号化されていないデータは、簡単に侵害される可能性があります。

この問題はHTTPSによって軽減されます。 HTTPSが行うことは、SSL層内にHTTP通信をカプセル化することです。つまり、ブラウザとWebサイトの間で送信されるデータはすべて暗号化されます。 HTTPSはまた、Webサイトが証明書を使用していると主張する人物であることを保証します。

Hotspot Shieldは、コンピューターとインターネットゲートウェイの間にVPNトンネルを作成します。コンピュータとゲートウェイ間のトラフィックはすべて暗号化されます。ただし、ゲートウェイと他のWebサイト間のデータトラフィックは、HTTPSを介して通信している場合を除き、引き続き傍受できます。

ユースケースとしては、単純なHTTPS接続で十分だと思います。