ExpressVPN publikuje poza audytem bezpieczeństwa i rozszerzeniem przeglądarki typu open source

Ilustracja zamka z lupą trzymaną nad nim. Soczewka na szkle powiększającym ujawnia wewnętrzne działanie zamka. Jakby szkło powiększające było jakąś magiczną maszyną rentgenowską, być może z przyszłości.


Z zewnątrz większość zamków wygląda tak samo. Niektóre mogą się opierać zbieraniu lub uderzaniu, inne mogą być wzmocnione przeciw ćwiczeniom, ale nigdy nie dowiesz się po prostu patrząc. Aby rozpoznać najsilniejszy zamek, musisz spróbować go wybrać samodzielnie, poprosić ślusarza, aby go przetestował, a może nawet rozebrać na części, aby zbadać projekt.

VPN są trochę takie. Mimo że jesteśmy przekonani, że ExpressVPN zapewnia wiodące w branży bezpieczeństwo i prywatność, wiemy, że może nie być łatwo to stwierdzić z zewnątrz.

Chcemy jednak, abyś był tak pewny, jak my, dlatego dokładamy wszelkich starań, aby zapewnić Ci informacje, które sam musisz zobaczyć. Dlatego opublikowaliśmy narzędzia do testowania szczelności typu open source – nieco podobne do zapewniania zestawu wytrychów – i szczegółowo opisaliśmy nasze praktyki bezpieczeństwa w ubiegłym roku.

Dzisiaj ogłaszamy dwie nowe inicjatywy dotyczące zaufania i przejrzystości, które dodatkowo pozwalają wszystkim zweryfikować, czy dotrzymujemy naszych obietnic: niezależny, publicznie wydany audyt bezpieczeństwa oraz otwarte wyszukiwanie rozszerzenia przeglądarki ExpressVPN.

Cure53 wystawił na próbę roszczenia bezpieczeństwa ExpressVPN

Niezależne testy stron trzecich są kluczowym elementem podejścia ExpressVPN do bezpieczeństwa, a my regularnie angażujemy audytorów bezpieczeństwa i testerów penetracyjnych. W przeszłości korzystaliśmy z tych audytów, aby zwiększyć bezpieczeństwo naszych usług, ale wraz z rozwojem branży VPN zaczęliśmy również dostrzegać znaczenie publikowania wyników w ramach naszego zobowiązania do zaufania i przejrzystości. W tym celu publikujemy dziś nasz pierwszy niezależny audyt bezpieczeństwa publicznego – pierwszy z wielu, który nadejdzie.

Do tego audytu zaprosiliśmy szanowaną firmę Cure53 do spraw bezpieczeństwa cybernetycznego do przeprowadzenia dokładnego przeglądu bezpieczeństwa naszego rozszerzenia przeglądarki, zapewniając swoim ekspertom pełny dostęp do kodu źródłowego i kompilacji. Zespół czterech testerów Cure53 ocenił zabezpieczenia i ochronę prywatności rozszerzenia w ciągu siedmiu dni w październiku 2018 r., A następnie sprawdził w połowie listopada, aby potwierdzić, że wszelkie zidentyfikowane problemy zostały naprawione.

Według niezależnego raportu Cure53, publicznie dostępnego na stronie internetowej firmy, „wyniki oceny Cure53 rozszerzenia przeglądarki ExpressVPN dla przeglądarki Chrome są pozytywne, a proces weryfikacji poprawek w połowie listopada 2018 r. To potwierdza”.

W swoim dochodzeniu Cure53 zidentyfikował osiem problemów, z których żaden nie otrzymał poziomu dotkliwości wyższego niż „średni”. Cure53 stwierdza, że ​​„dość wyraźnie, to dobry wskaźnik bezpieczeństwa.”

Spośród problemów trzy zostały oznaczone jako „średnie”, dwa „niskie”, a trzy „informacyjne”. Zespół inżynierów ExpressVPN niezwłocznie zajął się tymi ustaleniami, a Cure53 zweryfikował to w ramach audytu. Cure53 zauważa ponadto, że „należy podkreślić, że nie wykryto żadnych problemów bezpieczeństwa, które pozwoliłyby [atakującym] wpłynąć na stan połączenia VPN za pośrednictwem złośliwej strony internetowej lub podobnej”. Innymi słowy, nic nie wpłynęło zasadniczo na podstawowe bezpieczeństwo i prywatność ochrona zapewniana przez ExpressVPN.

Cieszymy się, że ten audyt potwierdza i wzmacnia bezpieczeństwo naszego rozszerzenia przeglądarki i czekamy na dalsze niezależne recenzje w najbliższej przyszłości.

Open-sourcing umożliwia każdemu sprawdzenie naszego kodu

Oprócz audytu publikujemy również kod źródłowy rozszerzenia przeglądarki ExpressVPN na licencji open source (GNU General Public License, wersja 2). Umożliwia to Tobie lub dowolnej osobie trzeciej przeprowadzenie tego samego rodzaju oceny, którą przeprowadził Cure53.

Jednym z powodów, dla których to zrobiliśmy, jest sposób działania rozszerzeń. Rozszerzenie wymaga szerokiego zestawu uprawnień do działania, z których niektóre mogą wydawać się niepokojące na żądanie przeglądarki. (Na przykład jedno pozwolenie ostrzega, że ​​rozszerzenie może „czytać i zmieniać wszystkie dane w odwiedzanych witrynach”).

Uprawnienia te są niezbędne do zapewnienia wszystkich funkcji prywatności i bezpieczeństwa VPN, a także dodatkowych korzyści, takich jak ochrona przed złośliwym oprogramowaniem. Oferując nasze rozszerzenie open source, zapraszamy wszystkich do spojrzenia pod maską i potwierdzenia, że ​​korzystamy z tych uprawnień w sposób odpowiedzialny i tylko z podanych przez nas powodów.

Aby wyświetlić kod źródłowy najnowszej wersji rozszerzenia przeglądarki ExpressVPN, zobacz naszą stronę GitHub.

Nasze zaangażowanie w zaufanie i przejrzystość w branży VPN

To, co ogłosiliśmy dzisiaj, to dwa najnowsze kroki w naszym dążeniu, aby nie tylko wykazać nasze zaangażowanie w bezpieczeństwo i prywatność, ale także pomóc ustanowić poprzeczkę dla zaufania i przejrzystości w branży VPN.

Jak zauważyliśmy w zeszłym roku, kiedy wspólnie z Centrum Demokracji i Technologii uruchomiliśmy inicjatywę mającą na celu podniesienie standardów dla wszystkich sieci VPN, uważamy, że wszystko, co pomaga internautom w podejmowaniu bardziej świadomych decyzji przy wyborze sieci VPN, ostatecznie czyni internet bardziej prywatnym i bezpieczny dla wszystkich.

W dalszym ciągu opracowujemy nowe i lepsze sposoby ochrony prywatności i bezpieczeństwa online, czekamy na publikację kolejnych audytów, narzędzi i informacji, które pozwolą Ci zobaczyć i zdecydować, która sieć VPN zapewnia ochronę, której potrzebujesz.

Uwaga redakcji: 2 sierpnia 2019 r
Zgodnie z naszym zobowiązaniem do dalszego publikowania większej liczby niezależnych audytów, niedawno zaprosiliśmy PwC do sprawdzenia, czy nasze serwery VPN są zgodne z naszą polityką prywatności i do audytu naszej technologii TrustedServer. Aby dowiedzieć się więcej i przeczytać pełny raport z audytu PwC, zobacz nasz pełny wpis na blogu z ogłoszeniami.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map