Завантажити
Назад до блогу
Конфіденційність··10 хв читання

Політики VPN без журналів: пояснення

Мова: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeTiếng Việt简体中文繁體中文

Політика VPN без журналів — це зобов'язання постачальника послуги, що він не утримує записів про активність користувачів. Ця фраза стала поширеною в маркетингу VPN, але її фактичне значення різниться між провайдерами. Ця стаття пояснює, що охоплює надійна політика без журналів, як її реалізують на рівні інфраструктури і як оцінити, чи підкріплена ця заява незалежними доказами.

Що стверджує політика без журналів

Політика без журналів — це твердження про те, які типи даних користувачів провайдер записує й утримує. Сильні політики окремо розглядають журнали з'єднань, журнали активності та ідентифікаційні метадані й описують технічні заходи, що забезпечують виконання політики.

Формулювання має значення, бо «без журналів» іноді вживають вільно в значенні «без журналів, які ми вважаємо чутливими», тоді як інші дані — споживання трафіку, кількість з'єднань, навантаження на сервер — продовжують зберігатися для операційних цілей. Чітка політика розрізняє ці два випадки й пояснює обґрунтування для кожного.

Типи журналів

Журнали в контексті VPN зазвичай поділяються на три категорії.

Журнали активності

Журнали активності фіксують, яких вебсайтів, застосунків чи пунктів призначення досягав трафік користувача протягом сеансу. Це найчутливіша категорія. Провайдер, який утримує журнали активності, може відтворити історію перегляду користувача. Політика без журналів, яка прямо не відмовляється від журналів активності, не є осмисленим зобов'язанням щодо приватності.

Журнали з'єднань

Журнали з'єднань фіксують, коли користувач під'єднався, скільки тривав сеанс, вихідну IP-адресу, з якої користувач під'єднався, і сервер, до якого користувач під'єднався. Хоч і менш чутливі, ніж журнали активності, журнали з'єднань можна використати, щоб співвіднести сеанси VPN з активністю, поміченою деінде в інтернеті.

Агреговані чи операційні журнали

Агреговані журнали фіксують метрики, як-от загальний трафік на сервер, кількість одночасних сеансів і кількість помилок. Вони зазвичай потрібні для планування потужностей і протидії зловживанням. Розумна політика без журналів розрізняє агреговані операційні метрики й журнали по кожному користувачу.

Як це реалізовано

Надійну політику без журналів забезпечує дизайн інфраструктури, а не лише політика компанії. Зазвичай застосовують кілька практик.

  • Сервери лише в пам'яті.Сервери VPN працюють цілком з RAM, без приєднаного постійного сховища. Коли сервер перезавантажується, будь-які дані в пам'яті втрачаються. Це іноді називають конфігурацією лише в RAM або бездисковою.
  • Тунелі без стану. Сучасні протоколи, як-от WireGuard, тримають на сервері мінімальний стан. Сервер знає, які вузли авторизовані, але не потребує відстежувати історію сеансу. На противагу цьому OpenVPN з автентифікацією за іменем користувача утримує додатковий стан.
  • Придушені системні журнали.Сервери налаштовано так, що типові системні логери не записують інформацію по кожному з'єднанню. Докладне логування зазвичай вмикають лише ненадовго під час налагодження.
  • Без бази облікових записів.Сервіси, які не потребують облікових записів, узагалі не можуть пов'язати з'єднання з конкретними особами. Snap VPN дотримується цього підходу: підписки обробляються через Apple, і сервіс не веде бази користувачів.

Незалежні аудити

Незалежний аудит — найсильніша з доступних форм доказу того, що політику без журналів реалізовано так, як заявлено. Типове аудиторське дослідження передбачає, що стороння фірма з безпеки переглядає конфігурації серверів провайдера, вихідний код і операційні процедури протягом кількох тижнів.

Цінність аудиту залежить від його обсягу. Корисний аудит уточнює, які сервери, компоненти та проміжки часу було перевірено, і публікує висновки — як позитивні, так і негативні — у звіті, який можна переглянути повністю. Аудити, що дають лише маркетингове резюме, значно слабші.

Важливо також усвідомлювати, чого аудит не може встановити. Аудит фіксує знімок у часі. Він не гарантує, що провайдер продовжить працювати так само після завершення аудиту. Повторні аудити через регулярні проміжки дають сильніше тривале запевнення.

Юридичні запити

Політика без журналів взаємодіє з юридичними процесами важливими способами. Якщо провайдер отримує повістку чи судовий наказ із вимогою даних користувача, провайдер може розкрити лише те, що має. Якщо журнали активності та з'єднань не утримуються, провайдеру нема чого розкривати про конкретну активність користувача поза записом про підписку.

Кілька провайдерів публікують «звіти про прозорість», що описують отримані юридичні запити й надані відповіді. Звіт про прозорість, який перелічує отримані запити й деталізує відсутність суттєвих даних для розкриття, узгоджується з дієвою політикою без журналів.

Юрисдикція також має значення. Правовий режим, за яким діє провайдер, визначає типи запитів, виконати які його можна змусити, і чи можна вимагати від нього почати логування на майбутнє.

Перевірка заяви

Кілька сигналів вказують, чи заслуговує заява про відсутність журналів на довіру.

  • Конкретність політики. Політика прямо називає категорії журналів, які не утримуються, замість того щоб уживати туманні формулювання.
  • Історія аудитів. Провайдер замовляв незалежні аудити, повні звіти про аудит загальнодоступні, і аудити охоплюють компоненти, що мають найбільше значення — сервери та системи автентифікації.
  • Операційний дизайн.Інфраструктуру описано в технічних деталях, зокрема використання серверів лише в пам'яті, автентифікацію без облікового запису й протоколи без стану.
  • Звіти про прозорість. Провайдер публікує періодичні звіти, що описують отримані юридичні запити й надані відповіді.

Поширені пастки

Кілька патернів вказують на заяву про відсутність журналів, яка може бути менш надійною, ніж видається.

Неоднозначна мова.Політики, що обіцяють не утримувати «жодної інформації, що дозволяє ідентифікувати особу», не вказуючи, які категорії даних виключено, можуть бути сумісними зі зберіганням значних метаданих з'єднань.

Сервіси на основі облікових записів. Сервіс, який потребує адреси електронної пошти для облікового запису, за своєю природою утримує певну інформацію, навіть якщо стверджує, що не логує активність. Сервіси без облікових записів мають сильнішу структурну позицію.

Лише самозасвідчення. Заява про відсутність журналів, яку не перевіряла незалежна сторона, спирається лише на твердження самого провайдера.

Snap VPN побудовано так, щоб заслужити на механічну довіру до заяви про відсутність журналів: без облікових записів користувачів, сервери лише в пам'яті та протокол WireGuard, який несе мінімальний стан сеансу. Для ширшого контексту перегляньте наш вступ до VPN і порівняння WireGuard та OpenVPN.

The Snap VPN Team
Editorial