Если коротко - не бойтесь вы за свои 15 копеек.

Если долго - вот вам длиннопост. Часто вижу страх того, что всё это может банально спереть ваши данные. Чтобы развеять его, предлагаю очень простыми словами (прям очень простыми, на самом деле нюансов много, тряпками не бейте) прочитать и понять, как это все устроено, и почему ваш пароль от банка практически никак через такой тип подключения не достать.

Сразу оговорюсь, что деятельность VPN в РФ сейчас находится в состоянии шредингера и использование уже имеет свои полсдествия по  № 281-ФЗ в случае получения доступа к информационным ресурсам, доступ к которым ограничен, в т.ч. включен в перечень запрещенных материалов.

Пруф: http://publication.pravo.gov.ru/document/0001202507310012?in...

Поэтому все что представлено - исключительно в целях самообразования.

В идеале и огромном упрощении, схема выглядит так. Вы на своем устройстве подключаетесь к некоторому сервису.  Так как сам по себе он работать не может, он должен куда-то стучать. Так мы уже понимаем, что у туннеля есть как минимум два входа - один это клиент, т.е. вы, второй - сервер, т.е. устройство, на котром работает обеспечение по приему трафика и его дальнейшему распределению, что от кого спросить и что кому ответить.

У вашего провайдера есть свои DNS сервера, которые понимают, где какой сайт находятся, и куда нужно проложить маршрут, чтобы получить доступ. Так же есть фильтры, чтобы не было доступа к некоторым ресурсам. Иными словами, сервер знает, что где лежит, но на какие-то запросы просто может вернуть ответ «На деревню дедушке».

Когда же вы подключаете VPN, вы передаете запрос не на сервер провайдера, а на сервер, который предоставляет приложение/расширение. Запрос упаковывается, шифруется, после чего по туннелю передается на сервер VPN (который по совместительству может и адреса раздавать, и знать что-где лежит, хотя бы базово, либо перенаправить на DNS-сервер провайдера той страны, куда подключаетесь. После этого все работает как обычно - как по адресной книге видим, что-где лежит, ответ получается, отправляется обратно пользователю по туннелю, клиент расшифровывает и вот вы получите нужную страничку.

Таким образом, VPN-сервер может узнать, что именно вы запрашивали, но ваши пароли ему недоступны. Почему, и всегда ли?
-Почему? Потому что пароли и прочая информация как правило не передается в чистом виде. Условно, при самом простом сравнении из пароля «1234» передается его хэш - 03ac674216f3e15c761ee1a5e255f067953623c8b388b4459e13f978d7c846f4. А может быть еще и с «солью» которая может быть любой, тогда «1234+salt» будет 574591818742461aa08b8aa54a0ee32f6f3e733cced79b29c0d4a008a38c3e3a. 1234 - пароль известный, а вот какой нибудь «parol_hren_uznaesh111_222» - уже сложнее, никто в здравом уме не будет искать его по хэшу, даже если хэш кому-то все-таки попадет.

-Всегда ли? В случае, если сайт сделан Васей-первокурсником, он может крутиться без сертификата ssl и не будет доступен по протоколу https, который по умолчанию «шифрует» данные. А если еще и хеширование не сделает - вот там да, смотри что хочешь.

-Точно ли я защищен? В целом - да. Исключение составляют единичные случаи с уязвимостью «Человек посредине». В таком случае, при очень хорошей подготовке злоумышленника он может выступать в роли третьего, промежуточного устройства, чтобы получить от вас пакет, а затем отправить дальше куда он и должен был идти.  При этом у него останется своеобразная «копия», которую он может разобрать и изучить. Грозит ли это вам? Практически нет, Никому не сдались ваши 15т.р. на карте, они не стоят этих затрат. А вот попробовать провести такую атаку на миллиардную компанию - уже куш более интересный, для злоумышленника, естественно.

Так чем же зарабатывают бесплатные VPN, если не крадут ваши пароли? Два самых распространенных  варианта. Первый - помним же, что ваши запросы могут видеть? Что вы там делали на сайте с саженцами - всем плевать, а вот то, что трижды открыли страницу с кабачками - интересно. Ждите плотную рекламу кабачков. Второй - в сомнительных сервисах вы попросту можете стать частью сети входов и выходов в чем-то большем, чем простые посиделки и поиск кабачков. Иными словами, пока вы через нидерладны смотрите, какой лучше взойдет на грядке, точно так же и через вашу точку выхода могут подключиться и провести незаконные операции. У вас не украдут ничего, просто в случае, если кто-то украдет миллион рублей с чьего-то счета, то засветится ваш ip. Вот и доказывайте, что к чему.

Так что не нужны там ваши пароли, это не окупится никогда, даже если бы желание было. Куда проще стащить подобное через вирусы - даже самый простой keylogger будет более эффективнее, чем цыганить пароль от сбера через VPN. А уж что использовать и что смотреть - тут каждый сам решает, у всех своя голова на плечах.