matomo

Best deal of the year - get 77% off our 2-year plan for Black Friday! Get Deal
Frakoblet
« Bilder av serverstativet i Stockholm Fire nye servere i Malmö »

Sikkerheten til OVPNs webservere

David Wibergh, om Produkter og funksjoner

En leverandør av VPN-tjenester bør tilby integritet og sikkerhet, og det er mange ting å tenke på om for å oppnå dette. Som du sannsynligvis allerede er klar over nå, har vi lagt ned en stor innsats for å sikre at ingen logger over brukerens aktivitet blir ført eller lagret på serverne våre, samt fokus på fysisk sikkerhet.

En VPN-tjenesteleverandør må kunne beskytte kundeinformasjon mer enn en vanlig webside, som en del av det en VPN-tjenesteleverandør selger er tillit, sikkerhet og integritet. På OVPN har vi dermed ikke bare fokusert på sikkerheten til VPN-serverne våre, men også på å gjøre omfattende sikkerhetstiltak på webserverne våre.

Vi streber etter å opprette og opprettholde proaktiv beskyttelse, noe som betyr at vi ønsker å ha et sikkerhetssystem som er tryggere enn det faktisk er behov for. Vi gjør dette for å beskytte oss mot potensielle fremtidige sårbarheter som vi ennå ikke kan forutse. For å oppnå dette har vi tatt følgende grep:

  • Bruk av den beste krypteringsstøtten som er tilgjengelig for HTTPS (SSL Labs-resultater)
  • Bruk av HSTS med lang utløpstid
  • Tvinger nettlesere til å bruke den innebygde XSS-beskyttelsen
  • Sørge for at informasjonskapsler bare settes via HTTPS
  • Tillater ikke rammer og iframes på OVPN.com
  • Instruere fullmakter og nettlesere om ikke å cache noe innhold på websiden vår

Vi har også etablert følgende rutiner for å sikre at ytterste sikkerhet er på plass:

  • Statistisk analyse av kildekoden vår for å finne sårbarheter.
  • Vi oppfordrer ansvarlig sårbarhetsrapportering ved å tilby belønninger til alle som finner sårbarheter.
  • Vi skriver blogginnlegg om ting som kan redusere en brukers anonymitet og sikkerhet og hvordan kunder bedre kan beskytte seg selv. (bash-sårbarhet, tunneling av Tor, superfish, webrtc, [säkrare Browsing the internet (/blog/gor-ditt-surfande-mer-sakert/)).
  • Vi tar sikte på å være så gjennomsiktige som mulig for å redusere tvetydighet og misforståelser om tjenestene våre.
  • Vi har valgt programvaren vår nøye (Ghost-CMS, OpenVPN, nginx, debian).
  • CSRF, SQLi og XSS-beskyttelse
  • Forhindrer bruteforce-angrep
  • De ansatte i OVPN har tatt skritt for å sikre sikkerheten til arbeidsstasjonen, for eksempel kryptering av harddiskene.
  • Vi krypterer den interne kommunikasjonen vår.
  • Vi krypterer bruker-e-post med unike krypteringsnøkler som endres daglig.

Vi har også planlagt et par ting for å forbedre sikkerheten enda mer, for eksempel:

  • Forbedre blokkering av brute-force angrep
  • Forbedre blokkering av forskjellige tidsangrep
  • Oppgradering av SSL-sertifikatet vårt til et med en sterkere krypteringsalgoritme samt sterkere organisasjonsvalidering
  • Å la brukere laste opp sine PGP/GPG-nøkler for at all e-postkommunikasjon fra OVPN blir kryptert automatisk
  • Vi planlegger også å sette opp et sandkassemiljø der vi vil tilby erfarne spesialister å finne sårbarheter uten enhver risiko for å utsette brukerinformasjon.

Ideer for hvordan vi kan forbedre oss?

Har du ideer eller forslag for å øke sikkerheten vår ytterligere? Hvis det er tilfelle, kan du kontakte oss og fortelle oss om dem.

David Wibergh