首先唔知啲反對我嘅人識唔識分 http vs https
HTTPS 係而家 app/website 嘅主流
個 S 係指 SSL (TLS) secured session layer
無 TLS layer 就係單純 http @ application layer
任何保安嚟講無嘢係 100% 安全
即使用咗 VPN 都好,VPN encryption 只係包你由自己個裝置去 VPN server 嗰段路係 encrypted
由 VPN server 再去 destination 嗰段路一樣係公海無保護,除非你連去嗰個網站係 HTTPS (而家應該 99.99% 網站都係)
可以保證 end to end encryption 係喺 OCI 嘅 session layer 亦即係實際上嘅 tls
HTTPS 嘅 S 就係指呢個 tls encryption
我講 HTTPS 係因為而家寫 app API 基本上都係 HTTP
(當然係應該包埋 smtp pop3 嘅 TLS option)
#40 就正確指出嗰問題嘅重點而唔係人身攻擊
個重點係 tls 雙方有無都用到 up to standard 嘅 cipher
如果是旦一方無追 patch 咁個 weak cipher
vulnerability 係零日攻擊,可以秒解
個道理套用落 VPN 係一樣
你部裝置同 VPN server都要追 patch 先得
不過個保護都只係半條路
正確做法係 end to end encryption
而之於公共 wifi network 有咩危險
我已經講咗唔重複,其實同 VPN->destination 後嗰半段路一樣咁危險
https://youtu.be/WVDQEoe6ZWY