O JavaScript por si só não permite enumerar todas as suas interfaces de rede, apenas consultar o IP do qual o seu sistema está se conectando. Qualquer site em que você se conectar pode informar o endereço IP do qual você está se conectando. No caso de uma VPN, você está "conectando-se" ao endereço IP da VPN, não ao seu próprio IP.
Nesse cenário, há dois "agentes de ameaça":
- O site ao qual você está se conectando.
- O servidor VPN pelo qual você está passando as informações.
Formas de o site expô-lo sem a ajuda do servidor VPN
Se você concordar em executar código nativo ou código .NET / Java com total confiança, como:
- Um applet ActiveX (tenho certeza disso)
- Um applet Java (tenho certeza disso)
- Um .NET XBAP (tenho certeza disso)
- Flash, talvez? (Alguém confirma)
- Silverlight, talvez? (Alguém confirma)
- Quaisquer outros plug-ins de navegador que permitem código nativo arbitrário ou ambientes robustos de tempo de execução
Os ambientes listados acima permitem que o programa consulte detalhes sobre o ambiente operacional nativo, que inclui uma lista de todas as placas / interfaces de rede. Uma dessas interfaces seria sua interface ethernet ou wireless local, que conteria (pelo menos) seu IP NAT privado, mas pode ou não conter seu IP público.
Formas para o servidor VPN expor você (intencionalmente ou acidentalmente)
A própria VPN poderia ser configurada para injetar um cabeçalho nas solicitações HTTP dando seu endereço IP, mas esse comportamento seria bastante incomum para uma VPN. Isso geralmente é feito apenas por proxies , que não devem ser confundidos com VPNs . Ainda assim, uma VPN arbitrária e não confiável (uma que você não controla e cujo proprietário você não confia totalmente) pode aparentemente decidir se deseja fornecer seu endereço IP e apenas fazê-lo. Então você precisa confiar que o software não vai fazer isso, e que o dono da máquina não vai modificar o software para fazê-lo.
A maneira como você perguntou o problema é realmente um problema de teoria da informação. Podemos entender isso em termos simples de interação humana:
- Jack quer mandar mensagem M para Colt.
- Jack não quer que Colt saiba que M se originou de Jack.
- Jack dá M para Sally, e pede para ela enviar a mensagem para Colt.
- Sally sabe que Jack é a origem de M .
Neste ponto, cabe a Sally, um ator humano arbitrário, decidir o que eles querem fazer com as seguintes informações:
- A mensagem M
- A identidade do Colt
- A identidade do Jack
- O fato de que Jack originou M
- O fato de Jack ter pedido que M fosse enviado para o Colt
Sally concebivelmente pode :
- Envie M para o pior inimigo de Jack
- Envie o fato de que Jack originou M para o pior inimigo de Jack
- Divulgue todas as informações que Sally obteve para o público em geral
- Envie M para Colt, mas minta e diga que a mensagem foi originada de outra pessoa
O fato de o software VPN ser configurado por padrão para se comportar de determinada maneira é uma pergunta muito diferente de "é possível ..."
A resposta curta é sim, é possível .
A menos que você realmente confie no proprietário / operador do servidor VPN e em todo o software em execução, há sempre a possibilidade. E se o proprietário / operador é um estranho e você não tem meios de analisar o software em execução na caixa, você definitivamente não tem motivos para suspeitar que sua identidade estará protegida.