如果我使用VPN在HTTPS上浏览一个网站,这些数据会被监听吗?
我昨天从一个美国网站买了一架飞机。在我国,票太贵了。因此,我使用IPVanish虚拟专用网浏览航空公司的网站。好像我是从纽约来的。
更低的价格,更多的幸福。然而,我用信用卡付账,得到了航班,但6个小时后,我的卡在美国被克隆并被封锁。
我不确定我的信用卡昨天是不是被复制了。它可能在几个月前就被克隆出来了,而且碰巧昨天第一次使用了。
所以,我想问你这个问题:
我浏览了网站,并一直通过HTTPS付费。考虑到我使用的是VPN,在这种情况下“中间人”攻击有可能发生吗?这些数据是否被VPN提供商或其他嗅探线路的人监听过?
我想知道昨天我的信用卡数据是否不可能被捕获,还是有很小的机会。
重要编辑:
请不要回答“你确定这张卡是克隆的吗?”我们100%肯定这张卡是克隆的。事实上,令人怀疑的不是购票(没问题,也没有通知银行),而是5小时后在美国发生的7美元的POS交易。考虑到我住在意大利,我不可能在美国的POS支付,所以银行封锁了信用卡,我确认他们做得很好,因为我从来没有在世界的另一边花7美元买过任何东西。
回答 2
Security用户
发布于 2015-11-13 14:36:41
如果您确实使用了适当的端到端HTTPS,那么您的客户端和服务器之间就没有人能够嗅到它,不管VPN是否存在。当然,这意味着存在正确的证书验证,并且您没有跳过有关无效证书的警告。
因此,我认为更有可能的是,数据在加密之前或解密后,即HTTPS隧道之外被嗅探。这可能是像这样的袭击:
- 商人的服务器被黑客入侵,卡数据泄露给攻击者。或者数据泄露在卡处理器上。
- 或者您自己的计算机上的数据泄漏,即某些浏览器扩展或其他类型的恶意软件,这些恶意软件在使用HTTPS加密信用卡信息之前获取这些信息。
- 或者你被骗去了错误的地点。如果你正在寻找最便宜的价格,这可能是因为你只是被骗去访问一个好的和可信赖的网站,这不是那么好和安全的结尾。它可能是,商店可以简单地提供廉价的价格,因为它然后使用卡数据的另一种方式。
注意,使用HTTPS只需确保中间没有人能够读取数据。它没有说明一个网站会有多受信任,以及它的安全性有多好。每个人都可以为它的网站获得证书,甚至是坏人。如果你自己的系统不安全,那也于事无补。
Security用户
发布于 2015-11-13 14:09:41
如果您的连接是加密的,只要您没有破坏您的SSL证书链,并且您所选择的航空公司的证书没有被破坏,而且您实际上是使用HTTPS连接的,那么我认为您很可能不是MITM通过HTTPS连接的。
然而,VPN提供商能够做的是设置一个MITM攻击,在它们的末尾剥离HTTPS,然后让您通过它们通过HTTP完成事务(这称为SSLstrip)。对于航空公司来说,它看起来仍然像是处于安全连接上,但只要您没有注意到在结帐过程中切换到HTTP,他们就能嗅探到您的踪迹。
另一种选择是,您的本地机器可能被破坏,卡号可能是通过键盘记录器或浏览器插件。
https://security.stackexchange.com/questions/105434
复制相似问题
腾讯云开发者
