Ein VPN-Dienstanbieter sollte Integrität und Sicherheit bieten, und es gibt eine Menge Dinge, über die man nachdenken muss, um dies zu erreichen. Wie Ihnen an dieser Stelle wahrscheinlich bereits bekannt ist, haben wir uns sehr bemüht, sicherzustellen, dass keine Protokolle über die Aktivitäten unserer Benutzer geführt oder auf unseren Servern gespeichert werden, und wir haben uns auf die physische Sicherheit konzentriert.
Ein VPN-Dienstanbieter muss in der Lage sein, Kundeninformationen mehr als eine gewöhnliche Webseite zu schützen, da ein Teil dessen, was ein VPN-Dienstanbieter verkauft, Vertrauen, Sicherheit und Integrität ist. Bei OVPN haben wir uns daher nicht nur auf die Sicherheit unserer VPN-Server konzentriert, sondern auch auf die Durchführung umfassender Sicherheitsmaßnahmen auf unseren Webservern.
Wir bemühen uns um die Schaffung und Aufrechterhaltung eines proaktiven Schutzes, was bedeutet, dass wir ein Sicherheitssystem beibehalten wollen, das sicherer ist, als es tatsächlich benötigt wird. Wir tun dies, um uns vor möglichen zukünftigen Schwachstellen zu schützen, die wir noch nicht vorhersehen können. Um dies zu erreichen, haben wir die folgenden Schritte unternommen:
- Verwendung der besten verfügbaren Verschlüsselungsunterstützung für HTTPS (SSL Labs-Resultate)
- Verwendung von HSTS mit langer Ablaufzeit
- Zwingen der Web-Browser, ihren eingebauten XSS-Schutz zu benutzen
- Sicherstellen, dass Cookies nur über HTTPS gesetzt werden
- Keine Frames und Iframes auf OVPN.com zulassen
- Proxys und Webbrowser anweisen, keine Inhalte unserer Webseite zwischenzuspeichern
Wir haben auch die folgenden Routinen eingerichtet, um sicherzustellen, dass ein Höchstmaß an Sicherheit gewährleistet ist:
- Statistische Analyse unseres Quellcodes, um eventuelle Schwachstellen zu finden.
- Wir ermutigen zu verantwortungsvoller Berichterstattung über Schwachstellen, indem wir jeden belohnen, der Schwachstellen findet.
- Wir schreiben Blog-Einträge über Dinge, die die Anonymität und Sicherheit eines Benutzers verringern könnten, und darüber, wie Kunden sich besser schützen können. (bash-vulnerability, tunneling Tor, superfish, webrtc, [säkrare Browsing the internet (/blog/gor-ditt-surfande-mer-sakert/)).
- Wir sind bestrebt, so transparent wie möglich zu sein, um Unklarheiten und Missverständnisse über unsere Dienstleistungen zu verringern.
- Wir haben unsere Software sorgfältig ausgewählt (Ghost-CMS, OpenVPN, nginx, debian).
- CSRF-, SQLi- und XSS-Schutz
- Verhindert Bruteforce-Angreifer
- Die Mitarbeiter des OVPN haben Maßnahmen ergriffen, um die Sicherheit ihres Arbeitsplatzes zu gewährleisten, wie z.B. die Verschlüsselung ihrer Festplatten.
- Wir verschlüsseln unsere interne Kommunikation.
- Wir verschlüsseln die Benutzer-E-Mails mit einzigartigen Verschlüsselungsschlüsseln, die täglich geändert werden.
Wir haben auch einige Dinge geplant, um die Sicherheit noch weiter zu verbessern, wie zum Beispiel
- Verbesserte Abwehr von Brute-Force-Angriffen
- Verbesserte Abwehr verschiedener Zeitangriffe
- Aufrüstung unseres SSL-Zertifikats auf ein Zertifikat mit einem stärkeren Verschlüsselungsalgorithmus sowie einer stärkeren Organisationsvalidierung
- Benutzern erlauben, ihre PGP/GPG-Schlüssel hochzuladen, damit die gesamte E-Mail-Kommunikation vom OVPN automatisch verschlüsselt wird.
- Wir planen auch die Einrichtung einer Sandbox-Umgebung, in der wir erfahrene Spezialisten zur Verfügung stellen werden, um Schwachstellen zu finden, ohne das Risiko einzugehen, Benutzerinformationen preiszugeben.
Ideen, wie wir uns verbessern können?
Haben Sie Ideen oder Vorschläge, wie wir unsere Sicherheit noch weiter erhöhen können? Wenn ja, nehmen Sie bitte Kontakt mit uns auf und teilen Sie uns diese mit.