Obava o hesla při připojení přes openVPN - konkrétně české openVPN

To, že se přihlašuješ přes OpenVPN jen znamená, že tvoje připojení k OpenVPN serveru je šifrované a dál do internetu pak přistupuješ jakoby až z adresy OpenVPN serveru. Co se stane za tím serverem je stejné, jako by ses připojovala rovnou.
Ty vlastně neuděláš nic víc, než že skryješ svou IP adresu. Žádné další zabezpečení nepřidáváš.

ovšem teoreticky ubírá. Pokud je VPN server kompromitován, existují možnosti útoku MITM.

Ale to ceskevpn.cz je asi celkem duveryhodne, ne? Nikde se zatim nic nepsalo, ze by byl nejaky problem. To by se rozkriklo urcite za tu dobu.

Díky, někde právě před časem bylo psáno o možnosti zneužití těch údajů, takže to byla taková nejistota.

Pokud se přihlašuješ na HTTPS stránku, tak je tvá komunikace šifrovaná. Použitím VPN jen skryješ svou IP adresu - vypadá to, jako by ses přihlašovala z místa, kde je VPN server. To není kvůli bezpečnosti a zneužitelnosti hesel, ale např. v případě, kdy web umožňuje přístup pouze z ČR a ty jsi v zahraničí.

Zneužitelnost údajů je - třeba únikem na webu, ke kterému se přihlašuješ.

Diky

Pokud se přihlašuješ na HTTPS stránku, tak je tvá komunikace šifrovaná.

.. ovšem je třeba dodat i "B", tedy v případě, že si "nic netušící" uživatel do prohlížeče nainstaluje CA certifikát "útočníka" jako důvěryhodnou autoritu (a následně se stane obětí MITM), tak jediný rozdíl uvidí na stránkách s "oveřenými" SSL certifikáty, které ztratí onen "zelený pruh" ověřené stránky.

Certifikát (a ještě k tomu CA) se ti sám do počítače neinstaluje. Musel by ses k němu proklikat a ještě si zvolit, že jej chceš nainstalovat.

a viděls někdy BFU, co všechno, řádně namotivován, dokáže?

Musel by mu tam někdo ten certifikát vnutit nebo mu dát návod, jak se k němu proklikat.
Pak samozřejmě zvládne všechno

tak takových sociálně-inženýrských návodů jsem už viděl.. a fungovaly.