Риски публичного Wi-Fi в 2026

Стандартная статья про риски публичного Wi-Fi с 2014 примерно одинакова. Хакеры в кафе! Снифают пакеты! Крадут пароли от банка! Купите VPN! Большая часть этого больше не точна. Развёртывание HTTPS убило лёгкие атаки. Оставшиеся угрозы реальны и другие, и шаблонный совет не догнал.

Это взгляд 2026 на риски публичного Wi-Fi. Что реально опасно, что в основном хайп, где помог WPA3, что HTTPS не защищает, и реальные защитные слои. Меньше алармизма, больше точности.

Откуда взялся старый совет

Гайды по атакам на публичный Wi-Fi 2010–2016 предполагали верное на тот момент:

• Большинство сайтов были HTTP по умолчанию. Пассивный наблюдатель в сети мог читать формы логина, куки, содержимое страниц.
• Предупреждения браузеров об HTTPS-проблемах были непоследовательны. Пользователи рутинно кликали через ошибки сертификата.
• Сетевые атаки (ARP poisoning, evil twin) были легки с готовыми инструментами (Firesheep, Pineapple). Любой с ноутом и бесплатным софтом мог их провернуть.

В той среде совет «используй VPN на публичном Wi-Fi» был по сути верен. Standalone-риск был достаточно высок, что даже casual-атакующие наносили реальный вред.

Мир изменился. К концу 2010-х покрытие открытого веба HTTPS перешло 80%. Браузеры перестали пускать пользователей через предупреждения сертификатов без явного override. Банки, соцсети, почта — все перешли на HTTPS-only с HSTS. Поверхность атаки для лёгкой версии снифинга публичного Wi-Fi схлопнулась.

Что HTTPS обрабатывает сейчас

В 2026 более 95% веба — HTTPS. Для типичной сессии браузинга на публичном Wi-Fi:

• Содержимое страниц зашифровано. Сетевой наблюдатель не читает страницу, форму, куки.
• Аутентификационные токены зашифрованы. Сессионные куки, бывшие лёгкой кражей в эру Firesheep, внутри TLS. Прочитать с провода невозможно.
• Идентичность сервера верифицирована. TLS-handshake аутентифицирует назначение. Man-in-the-middle должен либо получить валидный сертификат для назначения (сложно), либо обмануть тебя принять невалидный (браузеры больше не пускают casually).

Формулировка «смотри, как украдут пароль от банка», частая в старой VPN-рекламе, в основном устарела. Банкинг — HTTPS-only. Браузер откажется коннектиться с невалидным сертификатом. Поверхность атаки этого конкретного сценария резко сжалась.

Что HTTPS не обрабатывает

Угрозы другие, не исчезли. Конкретно:

SNI открытым текстом

TLS-handshake включает hostname назначения (Server Name Indication) открыто. Сетевой наблюдатель видит nytimes.com, даже не читая статью. Узнают, какие сайты посещаешь, когда, в каком порядке, как долго.

Encrypted Client Hello (ECH) это фиксит. Cloudflare, Mozilla, Google поддерживают. Большая часть веба пока нет. На 2026 SNI — открытый текст для большинства сайтов.

DNS открытым текстом

До подключения к сайту нужно резолвить имя. Plaintext DNS идёт к резолверу, настроенному оператором сети, обычно DNS-сервер оператора. Видят каждый резолвенный домен. Часть captive portal перехватывают и модифицируют DNS-ответы для редиректа.

DNS-over-HTTPS (DoH) и DNS-over-TLS (DoT) это фиксят. Firefox делает DoH по умолчанию в части регионов. Chrome — для DoH-capable резолверов. Большинство пользователей всё ещё шлют plaintext DNS оператору сети.

Форма трафика

Даже со всем остальным зашифрованным, размеры пакетов и тайминги выдают информацию. Загрузка конкретного видео YouTube имеет узнаваемый фингерпринт сегментных запросов. Стриминг эпизода Netflix — другой. Изощрённый наблюдатель с инструментами анализа трафика может идентифицировать конкретные сайты и даже видео по форме трафика, особенно для популярных назначений.

Редко для отдельных пользователей в кафе. Реально для государственных противников на национальном уровне.

IP назначения

Даже зашифрованный DNS не скрывает IP назначения. Роутеры на пути его видят, потому что должны форвардить пакеты. Для сайтов на выделенной инфраструктуре IP-к-домену тривиально выводится.

Что реально опасно на публичном Wi-Fi в 2026

Реалистичные угрозы сегодня по вероятности:

1. Evil twin access points

Rogue точка доступа вещает SSID, идентичный легитимному («Hotel-Guest», «Airport-Free-WiFi», «Starbucks»). Устройство подключается, часто автоматически, потому что помнит SSID с прошлого визита. Атакующий контролирует сеть и может перехватывать трафик.

Почему всё ещё работает в 2026: WPA3 митигирует часть атак, но не предотвращает SSID-имперсонацию. Wi-Fi-клиенты доверяют SSID. Большинство публичных сетей — open или PSK-based, ни то, ни другое не предотвращает имперсонацию. Современный enterprise Wi-Fi использует certificate-based аутентификацию, предотвращающую это, но consumer Wi-Fi нет.

Что evil twin может: видеть весь нешифрованный трафик (в основном DNS), отдавать captive portal с инжектом контента, попытка MITM TLS-соединений (в основном проваливается из-за проверки сертификатов, но работает против плохо настроенных клиентов), логировать все метаданные активности.

Что не может: читать HTTPS-контент, читать VPN-туннель, заменить TLS-сертификаты, которым ты доверяешь.

2. Captive portal MITM

Отельные и аэропортные сети используют captive portal: HTTP-редиректы на лендинг, где принимаешь условия или платишь. Captive portal по природе MITM-ит хотя бы одно HTTP-соединение, потому что так работает редирект.

Часть captive portal идут дальше. Инжектят скрипты в HTTP-страницы. Отдают модифицированный контент. Запускают аналитику, логирующую каждый домен. Задокументированно продают данные браузинга и DNS-запросы.

VPN чисто обходит captive portal MITM: после поднятия туннеля captive portal видит только зашифрованные байты. Сложность в том, что captive portal обычно требует рабочей сети для аутентификации, и тебе надо аутентифицироваться до того, как VPN установит туннель. Стандартный паттерн: подключись к сети, аутентифицируйся в captive portal, сразу подними VPN.

3. Сбор данных оператором сети

Отельные сети, аэропортные сети и публичные Wi-Fi-сервисы рутинно логируют метаданные подключений: каждый резолвенный домен, каждый IP, время, длительность, счётчики байт. Часть продают data-брокерам. Часть отдают правительственным программам слежки. Часть просто хранят бесконечно без политики.

Не гипотетика. Задокументированные примеры включают:

• Крупные отельные сети ловили на DPI, профилирующем гостевой трафик.
• Аэропортные сети ловили на логировании DNS и TLS SNI для маркетинговых и партнёров слежки.
• Провайдеры Wi-Fi кафе (франчайзеры) имеют похожие практики.

VPN сдвигает границу доверия от оператора сети к VPN-провайдеру. Является ли это улучшением, зависит от того, кому больше доверяешь. Для большинства платный VPN с реальной privacy-политикой — больше доверия, чем случайный отельный оператор.

4. Попытки обхода certificate pinning через captive portal

Часть captive portal пытаются MITM-ить HTTPS, заставляя поставить сертификат. Редко на публичных сетях (очевидный red flag, большинство отказывается), но случается на управляемых (отельные сети, конференции, корпоративные). Если поставишь сертификат, оператор сети может MITM все TLS-соединения. Не ставь сертификаты от сетей, которые не контролируешь.

5. Скомпрометированные consumer-роутеры

Часть публичного Wi-Fi работает на consumer-роутерах, скомпрометированных малварью. Малварь редиректит DNS на ad-injection серверы, редиректит конкретные банковские домены на фишинг или ставит постоянный мониторинг. Чаще всего в отелях и арендных квартирах, где железо старое и редко обновляется.

VPN полностью обходит это после поднятия туннеля.

Что в основном хайп

Несколько пунктов, которые цитируют, но реально риск меньше в 2026:

Снифинг паролей открытым текстом

Классическая Firesheep / aircrack-ng демонстрация была пугающей в 2010, потому что большинство сайтов отправляли логины открытым текстом. В 2026 значимые назначения (банки, почта, соцсети, стриминги) — HTTPS-only с HSTS. Атака не работает против современных сайтов.

Подслушивание Wireshark

Да, Wireshark работает. Захватывает трафик. Захватываемое в основном TLS-зашифровано, с уже обсуждённой утечкой метаданных (SNI, DNS, IP). Демонстрация «смотри, как украдут почту» больше не работает против современных сервисов. Версия с анализом трафика реальна, но требует больше изощрённости, чем у casual-атакующего.

«Хакеры» в обыденном смысле

Образ кого-то в худи в кафе, крадущего данные с ноута, в основном устарел. Casual-атакующий потерял большую часть поверхности. Оставшиеся угрозы:

• Слежка на уровне оператора сети (сбор данных, MITM самим оператором).
• Изощрённые атакующие (evil twin, анализ трафика), существуют, но редки.
• Государственные противники, существуют для части пользователей, но не сценарий кафе.

WPA3 и что изменилось

Статус развёртывания WPA3 на 2026:

• Enterprise WPA3 широко развёрнут в современных enterprise-сетях (корпоративные, университетские, государственные). Использует certificate-based аутентификацию и значимо безопаснее WPA2.
• WPA3-Personal для дома и малого бизнеса развёрнут менее универсально. Новые роутеры поддерживают. Старые клиенты (примерно до 2019) — нет, поэтому большинство сетей фолбэчат на WPA2 mixed.
• Публичные хотспоты в основном всё ещё open или WPA2-PSK в 2026. Переход медленный, потому что требует апгрейда и роутеров, и клиентов, а consumer-рынок апгрейдится медленно.

Что WPA3 фиксит для публичного Wi-Fi: добавляет Simultaneous Authentication of Equals (SAE), делающий offline-атаки против пароля сети намного сложнее. Для по-настоящему открытых сетей (без пароля) WPA3 имеет Opportunistic Wireless Encryption (OWE), шифрующий Wi-Fi-линк даже на сетях без общего ключа.

Что WPA3 не фиксит: SSID-имперсонацию (evil twin), captive portal MITM, сбор данных оператором. WPA3 защищает радио-линк к точке доступа. Не защищает от оператора этой точки.

Защитные слои, которые важны

В порядке важности для публичного Wi-Fi 2026:

1. HTTPS-Everywhere по умолчанию

Современные браузеры (Firefox, Chrome, Safari, Edge) дефолтят на HTTPS. Часть имеет режим, отказывающийся от HTTP. Включи. Firefox имеет «HTTPS-Only Mode». Chrome — «Always Use Secure Connections». Safari встроил.

Это покрывает 95% лёгкой поверхности атаки публичного Wi-Fi бесплатно.

2. DNS-over-HTTPS

Шифрует DNS-запросы, чтобы оператор сети не читал и не редиректил. Firefox делает по умолчанию в части регионов. Chrome — когда настроенный резолвер поддерживает DoH. Настрой DNS ОС на DoH-capable резолвер (Cloudflare 1.1.1.1, Google 8.8.8.8, NextDNS, Quad9) для системной защиты.

Это обрабатывает вектор DNS-лика и DNS-redirect атак.

3. VPN

Оставшиеся векторы (SNI открытым текстом, IP-уровневое логирование, evil twin, слежка оператора, анализ формы трафика) лучше митигируются VPN-туннелем. После поднятия туннеля оператор видит только зашифрованные байты к VPN-серверу.

VPN — самый эффективный единый защитный слой для публичного Wi-Fi 2026, потому что покрывает всё, что не покрывает HTTPS.

Kill switch важен. Если VPN падает, трафик не должен утечь. У нас глубокий пост kill switch объяснён.

4. Здравый смысл насчёт сетей

Не подключайся к незнакомым сетям. Не доверяй автоматически сети только потому, что SSID совпадает с местом, где был раньше (evil twin на этом и работают). Верифицируй имя сети у заведения, если важно. Не ставь сертификаты от сетей, которые не контролируешь.

Конкретные сценарии

Отельный Wi-Fi

Худшая категория. У отельных сетей долгая задокументированная история: слежка, продажа данных, captive portal injection, DPI и слабая сетевая изоляция между гостями. Используй VPN.

Аэропортный и самолётный Wi-Fi

Аэропорт: похожие проблемы, что в отеле. Используй VPN. Самолёт: то же плюс ограничение, что спутниковые соединения медленные, и captive portal часто блокирует всё, кроме HTTP/HTTPS на стандартных портах. WireGuard на UDP часто работает. OpenVPN на TCP/443 — fallback. VLESS Reality на TCP/443 тоже работает и самый надёжный на агрессивных captive portal.

Кафе Wi-Fi

Меньше риска, чем отель, потому что оператор сети (франчайзи кафе) обычно менее профессионален в сборе данных. Всё равно: SNI виден, DNS может перехватываться, evil twin возможны в людных местах. VPN разумен. HTTPS плюс DoH — минимум.

Конференционный Wi-Fi

Часто хорошо управляется (настоящий enterprise Wi-Fi с WPA3-Enterprise) или ужасно (кто-то протянул Ethernet к consumer-точке). Сложно сказать снаружи. По умолчанию VPN.

Библиотечный и университетский Wi-Fi

Часто запускают IDS, могущий флагать VPN-соединения. VPN всё равно работает в большинстве случаев. Если у библиотеки или университета политика блокировки VPN и применяет её — это отдельная проблема.

Практическая настройка

Для большинства разумная защитная настройка публичного Wi-Fi:

1. HTTPS-only режим браузера включён.
2. DNS-over-HTTPS настроен на уровне ОС (или в Firefox, если только браузишь).
3. VPN с kill switch, настроенный на авто-подключение на недоверенных сетях.
4. Поддержка WPA3-клиента включена (ОС обрабатывает; современные устройства уже).
5. Выбор сетей выключен для публичных SSID, которыми не пользуешься активно (чтобы устройство не подключалось к evil twin «Starbucks», когда идёшь по улице).

Этот стэк обрабатывает по существу все реалистичные угрозы публичного Wi-Fi 2026. Ничего экзотического.

Практические выводы

• Лёгкие атаки публичного Wi-Fi 2014 в основном мертвы. HTTPS их убил.
• Оставшиеся угрозы реальны, но другие: evil twin AP, captive portal MITM, слежка оператора сети, анализ трафика.
• WPA3 помогает, но не сильно меняет картину угроз публичного Wi-Fi, потому что большинство публичных сетей всё ещё WPA2 или open.
• HTTPS, DoH и VPN — три слоя, обрабатывающие реальные угрозы 2026.
• Kill switch важен, потому что туннели падают, и окно лика во время дропа перечёркивает VPN.

Если выбираешь VPN специфически для публичного Wi-Fi, наш текст нужен ли мне VPN рассматривает это как сильнейший standalone-кейс. 7-дневный бесплатный триал даёт время посмотреть, работает ли он на твоих сетях.