Las máquinas virtuales no hacen ninguna diferencia aquí.
Suponiendo que el propietario / administrador del punto de acceso wifi es una persona promedio, y no la NSA:
Si el administrador está leyendo el tráfico que pasa por su AP, pero no hace nada más, las conexiones HTTPS que están correctamente configuradas por los propietarios del sitio web son seguras (lamentablemente, como persona no especializada, juzgar la calidad de la configuración no es posible). >
Las conexiones HTTP son completamente legibles por el administrador.
Si el administrador comienza a modificar el tráfico que pasa por el AP, como antes, las conexiones HTTP no están protegidas de nada. Esto se mantiene en ambas direcciones, es decir. lo que obtienes del servidor web podría ser falso, y lo que el servidor web recibe de ti también.
Acerca de HTTPS, preste atención a las advertencias de certificado (en lugar de hacer clic en el botón de distancia, si el navegador lo permite). Una advertencia no es una prueba de actividad maliciosa, pero no obstante, no proceda.
Tercer punto, deja de pensar que tu tráfico wifi lo es todo. Estar conectado a una red controlada por un atacante es muy útil para controlar completamente su computadora ...