डाउनलोड करें
Blog पर वापस जाएं
गोपनीयता··10 मिनट पढ़ना

पब्लिक वाई-फाई के खतरे (HTTPS हर जगह होने पर भी)

भाषा: EnglishالعربيةDeutschEspañolفارسیFrançaisBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

कुछ साल पहले, किसी कॉफ़ी शॉप के नेटवर्क के इस्तेमाल की सलाह सीधी और डरावनी थी: मान लीजिए कोई आपका ट्रैफ़िक पढ़ रहा है। फिर HTTPS लगभग हर जगह डिफ़ॉल्ट बन गया, ब्राउज़र प्लेनटेक्स्ट साइटों के बारे में चिल्लाने लगे, और बहुत-से लोग चुपचाप चिंता करना छोड़ बैठे।

दूसरा हिस्सा ही असली समस्या है। पब्लिक वाई-फाई के खतरे HTTPS की जीत के साथ ग़ायब नहीं हुए — वे जगह बदल गए। वह निष्क्रिय ताक-झाँक करने वाला, जो कभी हवा से आपका Gmail पासवर्ड पकड़ लेता था, अब ज़्यादातर बेकार हो चुका है। जो बचा है वह ज़्यादा दिलचस्प, ज़्यादा निशानेबाज़, और पकड़ना ज़्यादा मुश्किल है, क्योंकि ताले का आइकन सब कुछ ठीक-ठाक दिखा देता है।

यह पोस्ट इस पर चलती है कि HTTPS ने असल में क्या ठीक किया, क्या नहीं किया, और वे चंद आदतें जो उन नेटवर्क पर, जिनके आप मालिक नहीं हैं, आपके जोखिम को सचमुच बदल देती हैं।

HTTPS ने असल में क्या हल किया

जहाँ श्रेय बनता है, वहाँ दें। HTTPS — वेब प्रोटोकॉल का एन्क्रिप्ट किया हुआ रूप — ने पब्लिक वाई-फाई समस्या के सबसे बड़े और सबसे भोंडे रूप को सचमुच ठीक कर दिया।

2014 में, आपके ही एयरपोर्ट नेटवर्क पर बैठा कोई शख़्स एक मुफ़्त टूल चला सकता था, आपके ब्राउज़र को Facebook लोड करते देख सकता था, और आपकी सेशन कुकी लेकर निकल सकता था। उस तरह के अटैक ज़्यादातर ख़त्म हो चुके हैं। HTTPS-डिफ़ॉल्ट-रूप-में, HSTS (एक फ़्लैग जो ब्राउज़र को बताता है “इस साइट को कभी सादे HTTP पर दोबारा लोड मत करना”), और कड़े कुकी नियमों के मेल का मतलब है कि मुख्यधारा की साइटों की मामूली निष्क्रिय ताक-झाँक से अब ज़्यादा कुछ हाथ नहीं लगता।

अगर आपका थ्रेट मॉडल यह है कि “मैं नहीं चाहता कि तीन मेज़ आगे बैठा कोई बोर हुआ किशोर मेरा ईमेल पढ़े,” तो HTTPS ने आपको वहाँ पहुँचा दिया है।

इससे एक पायदान ऊपर का थ्रेट मॉडल वहाँ है जहाँ बात ज़्यादा ईमानदार होती है।

HTTPS किन चीज़ों को कवर नहीं करता

HTTPS किसी ख़ास सर्वर से आपके कनेक्शन की सामग्री को एन्क्रिप्ट करता है। यह उन क़दमों की हिफ़ाज़त नहीं करता जो कनेक्शन बनने से पहले उठते हैं, और जब कुछ ज़रा-सा गड़बड़ दिखे तो यह आपको ख़ुद आपसे नहीं बचाता। यहीं पब्लिक वाई-फाई के खतरे अब भी बसते हैं।

कैप्टिव पोर्टल इंजेक्शन

होटल और एयरपोर्ट वाई-फाई पर उभरने वाले “हमारी शर्तें मानें” पेज को कैप्टिव पोर्टल कहते हैं। इसे चलाने के लिए नेटवर्क को आपका पहला वेब अनुरोध बीच में पकड़कर अपनी पसंद की किसी जगह भेजना पड़ता है। यह डिज़ाइन से ही एक मैन-इन-द-मिडल है। मंज़ूरशुदा, पर फिर भी मैन-इन-द-मिडल।

एक अच्छे से चलाया गया कैप्टिव पोर्टल हानिरहित होता है। एक बुरी तरह चलाया गया (या जानबूझकर शत्रुतापूर्ण) पोर्टल आपको JavaScript परोस सकता है, नक़ली सॉफ़्टवेयर अपडेट थोप सकता है, या चुपचाप हर जुड़ने वाले डिवाइस का प्रोफ़ाइल बना सकता है। आपका फ़ोन अक्सर पोर्टल को पूरे एड्रेस बार के बिना एक छोटे-से ब्राउज़र में दिखाता है, जिससे यह बताना मुश्किल हो जाता है कि आप असल में क्या देख रहे हैं।

कमज़ोर रिज़ॉल्वर पर DNS हाईजैक

जब आप bank.comटाइप करते हैं, तो आपका डिवाइस नेटवर्क के DNS रिज़ॉल्वर से पूछता है “इसका IP address क्या है?” किसी पब्लिक नेटवर्क पर, वह रिज़ॉल्वर उसी के हाथ में होता है जो एक्सेस पॉइंट का मालिक है।

एक ग़लत-कॉन्फ़िगर किया या दुर्भावनापूर्ण रिज़ॉल्वर झूठ बोल सकता है। यह आपको ऐसे सर्वर पर भेज सकता है जो आपका बैंक नहीं, फिर अपना ख़ुद का सर्टिफ़िकेट पेश कर सकता है। आधुनिक ब्राउज़र आपको चेतावनी देंगे — पर सिर्फ़ तभी जब सर्टिफ़िकेट ग़लत हो, और सिर्फ़ तभी जब आप चेतावनी पढ़ें, उस पर क्लिक करके आगे न बढ़ जाएं।

ग़लत-कॉन्फ़िगर साइटों पर SSL स्ट्रिपिंग

SSL स्ट्रिपिंग एक पुराना हथकंडा है जो संकरे मामलों में आज भी काम करता है। हमलावर आपके और उस साइट के बीच बैठ जाता है जिस तक आप पहुँचने की कोशिश कर रहे हैं। आप example.com टाइप करते हैं (बिना https:// उपसर्ग के), नेटवर्क उसे बीच में पकड़ लेता है, असली HTTPS पेज ख़ुद ला लेता है, और आपको एक सादी HTTP कॉपी परोस देता है।

वे साइटें जो HSTS प्रीलोडिंग इस्तेमाल करती हैं, सुरक्षित हैं। जो नहीं करतीं (आमतौर पर छोटी सेवाएँ, आंतरिक टूल, या कुछ भी जिस तक आप किसी पुराने बुकमार्क से पहुँचते हैं), वे नहीं हैं। एड्रेस बार चुपके से ताले के आइकन के बजाय http:// दिखाएगा, और ज़्यादातर लोग नहीं देखते।

दग़ाबाज़ एक्सेस पॉइंट और Evil Twins

यही वह चीज़ है जिसे ठीक से समझना फ़ायदेमंद है, क्योंकि यह ऊपर बताए गए ज़्यादातर बचावों को चकमा दे देती है।

आपका फ़ोन नेटवर्क याद रखता है। जब उसे कोई बीकन (एक छोटा ब्रॉडकास्ट पैकेट जो वाई-फाई का नाम घोषित करता है) दिखता है जो उससे मेल खाता है जिससे वह पहले जुड़ चुका है, तो वह अपने-आप कनेक्ट हो सकता है। आसानी से मिलने वाले हार्डवेयर वाला एक हमलावर ऐसा बीकन प्रसारित कर सकता है जो ख़ुद को Starbucks WiFi या Hotel Guest बताए, आपके फ़ोन को असली नेटवर्क से हटाने के लिए एक डी-ऑथेंटिकेशन फ़्रेम भेज सकता है, और बिना आपके कुछ छुए ही आपके डिवाइस को अपने नेटवर्क पर फिसलते देख सकता है।

वहाँ से, हमलावर ही नेटवर्क है। वे DNS को नियंत्रित करते हैं। वे कैप्टिव पोर्टल चलाते हैं। वे देखते हैं कि आपके डिवाइस के कौन-से ऐप किन सर्वरों तक पहुँचने की कोशिश कर रहे हैं, भले ही सामग्री एन्क्रिप्टेड हो। वे अपने ख़ुद के कैप्टिव पोर्टल पेज परोस सकते हैं, प्रीलोड न की गई किसी भी चीज़ पर SSL स्ट्रिपिंग आज़मा सकते हैं, और ऐसी किसी चीज़ के भीतर लॉगिन जानकारी माँग सकते हैं जो एक सामान्य लॉगिन प्रक्रिया जैसी दिखती है।

इसका तकनीकी नाम “evil twin” है, और चुपकी वाली बात यह है कि कोई भी आपको आगाह नहीं करता कि यह हो रहा है। आपका फ़ोन बस जाना-पहचाना वाई-फाई आइकन दिखाता है।

सर्टिफ़िकेट चेतावनी की आदत पड़ जाना

ब्राउज़र चेतावनियाँ देने में माहिर हो गए। यूज़र उन्हें नज़रअंदाज़ करने में माहिर हो गए।

जब आपको पूरे पेज की लाल सर्टिफ़िकेट चेतावनी दिखती है, तो इसका लगभग हमेशा मतलब होता है कि कनेक्शन में कुछ गड़बड़ है। कभी बेज़रर तौर पर (एक एक्सपायर हो चुका सर्ट), कभी नहीं (एक सक्रिय मैन-इन-द-मिडल)। समाधान यह है कि क्लिक करके आगे न बढ़ें। व्यवहार में, लोग सालों के बुरी तरह कॉन्फ़िगर किए गए कॉर्पोरेट नेटवर्क की वजह से “फिर भी आगे बढ़ें” बटन को बिना पढ़े दबाने के आदी हो चुके हैं।

किसी कॉफ़ी शॉप के नेटवर्क पर, वही बटन पूरा अटैक हो सकता है।

एक Evil-Twin अटैक असल में कैसे काम करता है

अगर आप यह देखना चाहें कि यह सब कैसे जुड़ता है, उसकी एक ठोस तस्वीर, तो evil-twin अटैक सबसे साफ़ उदाहरण है।

हमलावर एक लैपटॉप या एक छोटा पोर्टेबल डिवाइस किसी कॉफ़ी शॉप में लाता है। वह एक सॉफ़्टवेयर चलाता है जो क्रम से तीन काम करता है।

पहला, यह आसपास के वाई-फाई नेटवर्क के लिए हवा को स्कैन करता है और असली नेटवर्क का नाम (SSID) नोट कर लेता है। मान लीजिए वह Cafe Guest है। फिर यह उसी नाम के साथ अपने ख़ुद के बीकन फ़्रेम प्रसारित करना शुरू करता है, अक्सर ज़्यादा पावर पर ताकि डिवाइस उसे तरजीह दें।

दूसरा, यह उन क्लाइंट्स को डी-ऑथेंटिकेशन फ़्रेम भेजता है जो पहले से असली नेटवर्क से जुड़े हैं। डी-ऑथ फ़्रेम वाई-फाई के काम करने का एक सामान्य हिस्सा हैं — ये किसी डिवाइस को बताते हैं “आपका कनेक्शन कट गया है, कृपया फिर से जुड़ें।” ज़्यादातर नेटवर्क पर ये बिना प्रमाणीकरण वाले होते हैं, यानी कोई भी इन्हें भेज सकता है। असली नेटवर्क पर मौजूद फ़ोन हटा दिए जाते हैं और फिर से जुड़ने के लिए कोई जगह ढूँढते हैं।

तीसरा, हमलावर एक कैप्टिव पोर्टल पेश करता है। यह “मुफ़्त वाई-फाई तक पहुँचने के लिए” एक ईमेल और पासवर्ड माँग सकता है। यह होटल के लॉगिन पेज की नक़ल कर सकता है। यह आपको चुपचाप आगे जाने दे सकता है, आपके ट्रैफ़िक को अपने ख़ुद के कनेक्शन से रूट कर सकता है, और सब कुछ लॉग कर सकता है। आपके फ़ोन की नज़र से, आप ऑनलाइन हैं। हमलावर की नज़र से, अब वे आपके ISP हैं।

बचाव पैकेट हेडर पढ़ना नहीं है। बचाव अटैक को बेकार बना देना है — अनजान नेटवर्क से अपने-आप न जुड़कर, अपने संवेदनशील ट्रैफ़िक को किसी ऐसी चीज़ से रूट करके जिसके भीतर स्थानीय नेटवर्क झाँक न सके, और उन पेजों पर लॉगिन जानकारी न डालकर जिन पर आप जानबूझकर नहीं गए।

क्या 2026 में पब्लिक वाई-फाई सुरक्षित है?

ईमानदार जवाब: ज़्यादातर चीज़ों के लिए काफ़ी सुरक्षित, हर चीज़ के लिए काफ़ी सुरक्षित नहीं।

ख़बरें पढ़ना, कोई रेसिपी खोजना, सोशल स्क्रॉल करना — ठीक है। उस ट्रैफ़िक के ग़लत हाथ लगने की क़ीमत कम है और आधुनिक ब्राउज़र की सुरक्षाएँ असली हैं।

अपने बैंक में लॉगिन करना, किसी वर्क एडमिन पैनल तक पहुँचना, एक वायर ट्रांसफ़र मंज़ूर करना, या किसी नई सेवा में साइन-इन करना जो आपको रिकवरी कोड टेक्स्ट करती है — ये ज़्यादा क़ीमती पल हैं जहाँ “शायद ठीक है” और “पक्के तौर पर ठीक है” के बीच का फ़ासला मायने रखता है। उस फ़ासले को पाटने का सस्ता जवाब यह है कि इन्हें उन नेटवर्क पर न करें जिन पर आपका नियंत्रण नहीं।

पाँच व्यावहारिक क़दम

इनमें से किसी के लिए पैकेट फ़्रेम के बारे में सोचने की ज़रूरत नहीं। ये आदतें हैं।

  1. अनजान नेटवर्क के लिए ऑटो-जॉइन बंद करें।iPhone पर, यह Settings → Wi-Fi → Auto-Join Hotspot के तहत है, और हर नेटवर्क के लिए Wi-Fi → (नेटवर्क का नाम) → Auto-Join के तहत। मक़सद यह है कि किसी जाने-पहचाने नाम वाली चीज़ से जुड़ने से पहले आपका डिवाइस आपसे पूछे। मिलते-जुलते क़दमों के लिए हमारी iPhone VPN सेटअप गाइड देखें।
  2. जब मुमकिन हो तो सेल्युलर या अपना ख़ुद का हॉटस्पॉट तरजीह दें। एक 5G कनेक्शन पूरी तरह प्राइवेट नहीं होता, पर इसका एक ही, जवाबदेह ऑपरेटर होता है, और किसी अजनबी के लिए उसके बीच में घुस आने का कोई आसान तरीक़ा नहीं। सफ़र के दौरान किसी भी संवेदनशील चीज़ के लिए, आपके फ़ोन का हॉटस्पॉट आमतौर पर होटल नेटवर्क से बेहतर जवाब होता है।
  3. जो पल मायने रखते हैं, उनके लिए VPN इस्तेमाल करें। एक VPN, यानी वर्चुअल प्राइवेट नेटवर्क, आपके ट्रैफ़िक को एक एन्क्रिप्टेड टनल से होकर किसी ऐसे सर्वर तक रूट करता है जिस पर आप भरोसा करते हैं, ताकि स्थानीय नेटवर्क को सिर्फ़ वही एक कनेक्शन दिखे और इस बारे में कुछ न दिखे कि वह कहाँ जा रहा है। यह ऊपर की ज़्यादातर श्रेणियों को बेअसर कर देता है: कैप्टिव पोर्टल अब भी आपको तंग कर सकता है, पर वह आपकी DNS लुकअप नहीं देख सकता, आपकी देखी साइटों पर SSL नहीं स्ट्रिप कर सकता, और यह प्रोफ़ाइल नहीं बना सकता कि आप कौन-से ऐप इस्तेमाल कर रहे हैं। अगर यह विचार आपके लिए नया है, VPN असल में क्या है, इस पर हमारी प्राइमर बुनियादी बातें समेटती है, और सफ़र में VPN पर हमारी गाइड ब्योरे में जाती है। Snap इसी रुख़ के इर्द-गिर्द बना एक विकल्प है, पर ब्रांड से ज़्यादा बड़ी बात यह आदत है।
  4. पब्लिक नेटवर्क पर सर्टिफ़िकेट चेतावनियों पर क्लिक करके कभी आगे न बढ़ें। अगर आपको सर्टिफ़िकेट के बारे में पूरे पेज की ब्राउज़र चेतावनी दिखे, तो टैब बंद कर दें। आपके घर के नेटवर्क पर यह लगभग हमेशा एक ग़लत-कॉन्फ़िगर साइट होती है; कॉफ़ी शॉप के वाई-फाई पर कोई सक्रिय रूप से बीच में हो सकता है। ग़लत होने की क़ीमत इतनी ऊँची है कि “बाद में फिर कोशिश करें” ही सही डिफ़ॉल्ट है।
  5. संवेदनशील लॉगिन और लेन-देन भरोसेमंद नेटवर्क के लिए बचाकर रखें। बैंकिंग, पासवर्ड रीसेट, कोई भी चीज़ जिसमें रिकवरी कोड या टू-फ़ैक्टर प्रक्रिया शामिल हो — ये उस छोटी-सी असुविधा के क़ाबिल हैं जो सेल्युलर या घर के वाई-फाई पर लौटने तक इंतज़ार करने में है। इन्हें एयरपोर्ट पर निपटाने से मिलने वाली सुविधा उस असंतुलन के क़ाबिल नहीं जो ग़लत होने पर हो सकता है।

एक VPN क्या ठीक करता है और क्या नहीं

इस मुद्दे पर बहुत शोर है, इसलिए सटीक होना फ़ायदेमंद है।

एक VPN ये चीज़ें ठीक करता है:

  • स्थानीय नेटवर्क की आपकी DNS लुकअप देखने की क्षमता
  • SSL स्ट्रिपिंग (आपका ट्रैफ़िक शत्रुतापूर्ण नेटवर्क से सादे टेक्स्ट में होकर नहीं गुज़रता)
  • कैप्टिव पोर्टल पार करने के बाद कैप्टिव पोर्टल की प्रोफ़ाइलिंग
  • किसी दग़ाबाज़ एक्सेस पॉइंट की आपकी गतिविधि के बारे में कोई काम की चीज़ जानने की क्षमता

एक VPN ये चीज़ें ठीक नहीं करता:

  • वह सर्टिफ़िकेट चेतावनी जिस पर आप फिर भी क्लिक करके आगे बढ़ जाते हैं
  • वे फ़िशिंग पेज जिनमें आप ख़ुद सक्रिय रूप से लॉगिन कर देते हैं
  • वह मैलवेयर जो पहले से आपके डिवाइस पर है
  • यह हक़ीक़त कि आप जिन वेबसाइटों पर जाते हैं वे अब भी अकाउंट और कुकीज़ के ज़रिए आपको पहचान सकती हैं

यह पब्लिक वाई-फाई के खतरों की एक ख़ास श्रेणी के लिए एक धारदार औज़ार है। यह कोई जादुई ढाल नहीं, और जो उत्पाद इसे ऐसा बताकर बेचते हैं वे इसके काम को बढ़ा-चढ़ाकर पेश कर रहे हैं। हमारा आम VPN मिथकों का जायज़ा मार्केटिंग बनाम हक़ीक़त के फ़ासले में और गहराई से जाता है।

निष्कर्ष

HTTPS ने समस्या का आसान रूप हल कर दिया। मुश्किल रूप, कनेक्शन के नीचे वाली वह परत जहाँ DNS, कैप्टिव पोर्टल और दग़ाबाज़ एक्सेस पॉइंट बसते हैं, तब तक ज़्यादातर अनदेखी रहती है जब तक कुछ गड़बड़ न हो जाए।

इस बारे में समझदारी बरतने के लिए आपको नेटवर्क इंजीनियर बनने की ज़रूरत नहीं। ऑटो-जॉइन बंद करें, कैप्टिव पोर्टल को लेकर शक़ रखें, सर्टिफ़िकेट चेतावनियों पर क्लिक करके आगे न बढ़ें, और जब दाँव असली हो तो सेल्युलर या VPN इस्तेमाल करें।

अगर आप चाहें कि VPN वाला हिस्सा iOS पर साफ़-सुथरे ढंग से सँभल जाए — साइन-अप पर कोई ईमेल नहीं, कोई ट्रैफ़िक लॉग नहीं, सब्सक्रिप्शन जो आपके Apple ID के ज़रिए चुपचाप बिल होता है — Snap ठीक इसी रुख़ के इर्द-गिर्द बना है। macOS रास्ते में है। चाहे जो हो, सबसे अहम बात यह नहीं कि आप कौन-सा ऐप इंस्टॉल करते हैं; अहम यह है कि आप कॉफ़ी शॉप के नेटवर्क को अपने ख़ुद के नेटवर्क जैसा समझना बंद कर दें।

The Snap VPN Team
Editorial