Стандартные советы про безопасность публичного Wi-Fi устарели лет на десять. В 2026 году почти каждый сайт использует HTTPS, телефон отказывается подключаться к неподписанным сетям, а драматичные «man-in-the-middle» демки из старых докладов уже не работают так, как работали раньше. Это не значит, что публичный Wi-Fi безопасен — это значит, что реальные риски сместились, и советы тоже должны.
Что изменилось — повсеместное HTTPS-шифрование переписало картину угроз
Десять лет назад предупреждение про Wi-Fi в кафе было простым и точным: ваш трафик не шифровался, и любой в той же сети мог его прочитать. В 2010 году браузерное расширение Firesheep сделало это пугающе наглядным — оно позволяло за два клика перехватывать сессионные куки Facebook, Twitter и десятков других сайтов в открытых сетях. Инструмент вызвал волну паники именно потому, что работал.
Firesheep стал возможен из-за HTTP. В 2010 году большинство сайтов отдавали страницы по открытому, незашифрованному HTTP. Куки аутентификации передавались по тому же открытому каналу. Если вы могли перехватить пакеты в сети, вы могли забрать эти куки — а куки сессии означают полный доступ к аккаунту, пока сессия не истекла. Это была реальная угроза.
Та конкретная атака по большей части мертва. HTTPS стал повсеместным — браузеры помечают не-HTTPS-сайты предупреждениями, современные платформы автоматически перенаправляют HTTP на HTTPS, а браузеры применяют строгие политики в отношении контента, загружаемого по незашифрованным соединениям. Банковское приложение закрепляет сертификаты на уровне приложения — даже если атакующий перехватит соединение, он упрётся в криптографическую стену ещё до того, как доберётся до чего-либо читаемого. Сценарий «украсть банковский пароль в открытой сети», который доминировал в материалах про приватность целое десятилетие, больше не является реалистичной угрозой, которой он когда-то был.
Это реальный прогресс, и его стоит признать. Базовый уровень безопасности при использовании сети в публичном Wi-Fi существенно вырос по сравнению с 2015 годом. Тот, кто в 2026 году пишет «весь ваш трафик виден в публичном Wi-Fi» как безоговорочное утверждение, работает с устаревшей моделью угроз.
Правильный вопрос — что повсеместное HTTPS-шифрование не исправило. Зашифрованный контент не означает невидимых соединений. И оставшаяся поверхность атаки тоньше старых угроз — именно поэтому её так легко недооценить.
Атаки, которые по-прежнему работают
Четыре категории атак актуальны в 2026 году, и ни одна из них не требует взлома HTTPS.
Фишинг через captive portal. Вы подключаетесь к Wi-Fi в отеле или аэропорту. Загружается страница с просьбой принять условия использования, ввести номер комнаты или создать аккаунт. Это captive portal — шлюз, который публичные сети используют для управления доступом. Атакующие создают поддельные версии таких порталов, визуально неотличимые от настоящих, но перехватывающие всё, что вы вводите. Некоторые предлагают «обязательное обновление безопасности» или вредоносное расширение для браузера. Поскольку пользователи привыкли видеть такие страницы в публичных сетях, показатель соответствия высокий. Атака требует физической близости (или просто трансляции сети с похожим именем в том же пространстве) и никаких технических навыков, кроме убедительной HTML-страницы.
Поддельные точки доступа, или «злые близнецы». Атакующий создаёт Wi-Fi-хотспот с тем же именем — тем же SSID — что и настоящая сеть заведения. Если ваше устройство уже подключалось к сети с таким именем и сохранило её, оно может автоматически подключиться к хотспоту атакующего. В сети атакующего он является DNS-резолвером, шлюзом и пассивным наблюдателем за всем, что отправляет ваше устройство. Далеко не весь трафик зашифрован: многие приложения по-прежнему отправляют метаданные, телеметрию или фоновые синхронизации, которые раскрывают информацию даже без взлома контентного уровня. Атака дёшева (достаточно телефона или роутера за $30) и надёжна.
DNS-отравление на локальном резолвере. DNS-сервер, предоставляемый публичной Wi-Fi-сетью, подконтролен тому, кто администрирует эту сеть. Вредоносная или скомпрометированная сеть может направлять DNS-запросы к IP-адресам под контролем атакующего. Если ваше устройство доверяет DNS-серверу сети, а политика HSTS нужного сайта ещё не закешена вашим браузером, вы можете быть перенаправлены на убедительный клон. Даже там, где HTTPS предотвращает перехват контента, DNS-ответы раскрывают ваши пункты назначения до установки какого-либо зашифрованного соединения: ваше устройство спрашивает «где находится example.com?» открытым текстом, а отравленный резолвер отвечает что угодно.
Снятие метаданных и корреляция трафика. Это наименее понятный риск из перечисленных, и тот, который повсеместное HTTPS-шифрование меньше всего затронуло. Даже при зашифрованном соединении пассивный наблюдатель в сети видит: какие DNS-имена запрашивает ваше устройство (если вы не используете зашифрованный DNS), к каким IP-адресам вы подключаетесь, время и объём ваших соединений, паттерны трафика, коррелирующие с конкретными приложениями или поведением. Стриминг видео выглядит иначе, чем загрузка веб-страницы. VoIP-звонок имеет характерную временну́ю сигнатуру. Сайты, которые вы посещаете, можно установить по IP-адресам даже без чтения контента. Для этого не нужно перехватывать HTTPS — достаточно находиться в сети и наблюдать, что делает ваше устройство.
Суть сдвига в картине угроз такова: в 2010 году рискованным было чтение вашего контента. В 2026 году рискованным является наблюдение за вашей активностью — с кем вы соединяетесь, когда, как часто и как долго.
Чек-лист на пять минут — для любого
Ничего из этого не требует технических знаний. Это операционные привычки.
1. Используйте известную, подписанную сеть. Сеть с аутентификацией WPA2 или WPA3 существенно сложнее атаковать пассивно, чем открытую сеть. Если заведение предлагает и «VenueName» (открытую), и «VenueName-Secure» (WPA2), используйте защищённую. Открытая сеть без аутентификации позволяет любому перехватывать пакеты, не подключаясь к ней.
2. Забывайте публичные сети после использования. iOS, Android, macOS и Windows позволяют удалить сохранённую сеть. Делайте это перед уходом. Ваше устройство не будет автоматически подключаться к сети с таким именем в будущем — а значит, не присоединится молча к «злому близнецу» при следующем визите.
3. Используйте зашифрованный DNS. DNS-over-HTTPS встроен в большинство современных браузеров в разделе настроек приватности или безопасности. Системные варианты включают настройку доверенного резолвера — например, Cloudflare (1.1.1.1) или Quad9 (9.9.9.9) — на уровне ОС. Это не позволяет DNS-серверу сети видеть или подменять ваши запросы.
4. Проверяйте captive portal перед вводом чего-либо. Легитимные captive порталы просят номер комнаты или нажатие «Принять условия» — они не запрашивают ваш пароль от почты, платёжную карту или что-либо за пределами того, что нужно для предоставления доступа к сети. Если портал запрашивает что-то чувствительное, закройте его. При необходимости обратитесь к персоналу заведения лично.
5. Отключайте расшаринг файлов и обнаружение устройств. AirDrop, Windows Network Discovery, Nearby Share — всё это транслирует присутствие вашего устройства и принимает входящие соединения. В публичной сети эта поверхность атаки избыточна. Отключите их перед подключением и включите снова там, где доверяете сети.
6. Используйте VPN для уровня сетевых метаданных. VPN не заменяет HTTPS — он работает на другом уровне. Там, где HTTPS защищает содержимое ваших соединений, VPN оборачивает всю вашу сетевую активность в зашифрованный туннель, скрывая метаданные: какие DNS-имена вы запрашиваете, к каким IP-адресам подключаетесь, объём и время вашего трафика. Именно здесь VPN добавляет то, чего HTTPS не даёт. Бесплатный план ORION/VPN на 10 ГБ в месяц создан именно для этого сценария — лёгкое ежедневное использование в публичных сетях, карта не нужна. О том, что такое VPN-туннель на уровне протокола, есть отдельная статья с механикой.
7. Обновляйте устройство. Большинство практических атак через публичный Wi-Fi, выходящих за рамки пассивного наблюдения, строятся на связке: точка входа на сетевом уровне плюс незакрытая уязвимость в программном обеспечении. Сеть даёт доступ к соседству; необновлённый браузер или ОС — рычаг. Актуальные обновления устраняют второе звено этой цепочки.
Где VPN реально помогает — и где нет
Честная версия этого важна, потому что преувеличение возможностей VPN — это именно то, как пользователи оказываются убеждены в защите там, где её нет.
Где VPN помогает в публичном Wi-Fi:
Утечка метаданных на сетевом уровне — самый очевидный выигрыш. VPN туннелирует ваш трафик к серверу, которому вы доверяете, поэтому сеть кафе видит одно зашифрованное соединение с VPN-эндпоинтом — а не отпечаток каждого приложения и сервиса, с которыми общается ваше устройство. DNS-отравление на локальном резолвере также закрывается: если ваш VPN обрабатывает DNS (как большинство делает), запросы идут через туннель, а не через скомпрометированный локальный DNS-сервер. Любой незашифрованный трафик — фоновая телеметрия приложений, HTTP-редиректы captive portal до того, как браузер успел применить HTTPS — попадает в туннель и скрывается от сети.
Поддельные точки доступа закрываются частично: если вы уже подключились к «злому близнецу», атакующий по-прежнему способен перехватить вашу начальную попытку соединения до того, как VPN установит туннель. Это проблема временно́го зазора, которую закрывает режим «всегда включён» — подробнее в следующем разделе.
Где VPN не помогает:
Атаки с подменой сертификата происходят на уровне приложения, а не сети. Если атакующий каким-то образом убедил ваше устройство доверять поддельному центру сертификации, VPN об этом не знает — он просто туннелирует скомпрометированное соединение. Эта атака требует компрометации самого устройства, а не только сети, и выходит далеко за рамки модели угроз публичного Wi-Fi для большинства пользователей.
Вредоносное ПО на устройстве так же вне области применения. Если ваше устройство уже заражено, трафик, выходящий из VPN-эндпоинта, может быть чистым, пока вредонос эксфильтрирует данные по отдельному каналу или работает локально. VPN защищает транзит по сети. Он не проверяет и не защищает то, что происходит на устройстве.
Захват аккаунта после входа VPN не устраняет. Если вы вошли в сервис, а управление сессиями этого сервиса скомпрометировано, или вы были обманом введены в ввод учётных данных на поддельном портале до того, как VPN подключился, — VPN здесь бессилен.
Точная формулировка: VPN — это слой защиты для сетевого уровня конкретно. Он лучше любого другого единственного контроля закрывает утечку метаданных на сетевом уровне. Он не заменяет HTTPS, не заменяет защиту конечного устройства и не является магическим щитом для ваших аккаунтов.
Режим «всегда включён» — что он закрывает
Современные VPN-клиенты поддерживают режим «всегда включён», нередко в паре с kill-switch: если VPN-соединение разрывается, сетевой интерфейс удерживается до восстановления туннеля, а не переключается обратно на незащищённую сеть.
Сбой, который это устраняет, тонкий и распространённый. Вы подключаетесь к Wi-Fi в аэропорту. VPN-приложение настроено на автоподключение — но между присоединением к сети и установкой туннеля есть зазор в 3 секунды. За эти 3 секунды почтовый клиент проверяет новую почту, календарь синхронизируется, браузер предзагружает вкладки. Всё это происходит через незащищённую сеть, потенциально через «злого близнеца» или отравленный резолвер. Само по себе ничего катастрофического — но это именно та поверхность утечки метаданных, которую публичный Wi-Fi и создаёт.
Режим «всегда включён» устраняет зазор. Устройство ждёт. Ничто не проходит через сеть до поднятия туннеля.
Клиент ORION/VPN для macOS поддерживает режим «всегда включён» с kill-switch на бесплатном плане. Это не премиум-функция — она включена по умолчанию для сценария использования, под который бесплатный план и создан: публичный Wi-Fi на устройствах, автоматически подключающихся к известным сетям.
Итог
Публичный Wi-Fi опасен не так, как в 2010 году — он опасен по-другому, тоньше. Содержимое ваших HTTPS-соединений хорошо защищено. Паттерн вашей сетевой активности, DNS-запросы и метаданные — нет. Бесплатный план ORION/VPN на 10 ГБ в месяц закрывает оставшуюся поверхность: режим «всегда включён» устраняет временно́й зазор, Horizon — для сетей, фильтрующих трафик, Wind — для открытых сетей, где важна пропускная способность. Если вы хотите разобраться глубже — что такое VPN на уровне протокола или как оценить любой бесплатный VPN — обе статьи исходят из одной предпосылки: точные модели угроз ведут к лучшим решениям, чем драматические.