Wczorajsza wiadomość o wprowadzeniu przez przeglądarkę Opera „darmowego VPNa dla wszystkich” brzmiała trochę zbyt dobrze by mogła być prawdziwa. Mamy już wyniki pierwszych testów i nie są one do końca pozytywne.
Co prawda nikt nikomu nie zabroni używania nazwy „VPN” ale podnoszą się głosy, że Opera celowo mylnie nazywa swoją usługę „VPN” zamiast po prostu serwerem proxy, tworząc fałszywe poczucie większego bezpieczeństwa i anonimowości wśród użytkowników. Polacy są obecnie na piątym miejscu wśród użytkowników tej nowej usługi, zatem warto trochę ją Wam przybliżyć.
Wyniki testów
Pierwsze testy pokazują że:
- usługa korzysta z serwerów surfeasy.com (prawdopodobnie równiez należących do Opery),
- ruch użytkownika jest szyfrowany za pomocą protokołu SSL,
- ruch jest przepuszczany przez serwer proxy.
W praktyce oznacza to że:
- „VPN” nadaje się do przeglądania internetu przez niezabezpieczoną sieć WiFi,
- szyfrowany jest tylko ruch przeglądarki (a już np. nie niezależnych komunikatorów, klientów poczty czy torrentów),
- jak dla każdego serwera proxy uzyskujemy efekt ukrycia lokalizacji ruchu wychodzącego,
- jeśli podsłuchacie uwierzytelnienie to pewnie możecie skorzystać z tego samego proxy w innej przeglądarce,
- nigdzie nie ma informacji o tym, jakoby serwer proxy nie przechowywał logów połączeń,
- w każdym żądaniu do serwera przesyłany jest Wasz user_id, który pozostaje bez zmian również po zrestartowaniu lub przeinstalowaniu przeglądarki.
Proxy wbudowane w Operę na pewno jest łatwiejsze w obsłudze niż konfigurowane ręcznie, lecz należy zdawać sobie sprawę z jego ograniczeń. Jeśli chcecie przetestować sami, to musicie skorzystać z wersji deweloperskiej Opery. Jeśli chcecie mieć prawdziwego VPNa, to będziecie musieli skorzystać z innego rozwiązania. Na koniec dodamy tylko, że Operę chcą właśnie kupić chińscy inwestorzy.
Komentarze
Mam nadzieje że chińczyki nie kupią Opery.
Chyba akurat lepiej jak kupią Chińczycy niż np. Niemcy, Rosjanie itd. Chiny są daleko i raczej nam nie zaszkodzą
Tty tak serio? Nie zaszkodzą nam, bo są daleko? Kilka godzin samolotem.
No to teraz pytanie za milion a może dwa…
Czy opera wrzuca swoje certyfikaty i robi na proxy klasycznego MiM przy okazji robiąc krater w bezpieczeństwie przeglądania?
Wcale bym się nie zdziwił.
A wtedy wystarczy włamanie na ich proxy żeby miliony użytkowników zostało okradzionych.
W każdym razie z banku bym na tym nie korzystał.
słuszna uwaga. o ile chodzenie po stronach http problemem nie jest jak do proxy łączy się przez https, o tyle już logowanie na facebooka, do banku czy innych z certyfikatami, zapewne skonczy się ostrzezeniem w przegladarce o blednym certyfikacie, tak jak powiedziales – typowy MiTM (zupelnie jak odpalony fiddler 2, tylko ze na lokalu). chyba ze dla https proxy robi jako typowy forwarder, wiec nie maskuje dla takich polaczen twojego ip, co jest ogolnie bezsensem aby z niego korzystac.
no to sobie wyobrazcie jakie zniwa bedzie zbierac ta usluga jak chinczycy faktycznie opere kupią :)
Nie zakończy się.
Prawidłowo zaimplementowane certyfikaty będą przeźroczyste dla użytkownika.
Na podobnej zasadzie działają programy antywirusowe filtrujące https. Nie widzisz że łaczysz sie z posrednikiem. Jest to kompletnie przeźroczyste a ruch jesr przecież rozszyfrowywany i szyfrowany.
Tak samo działają sensowne (dla uproszczenia napiszę) firewalle z filtracją https.
Jak siądzie admin na chwilę to nawet na „głupim” linuxie zrobi dobie okienko do podglądu ruchu sieciowego i jak ma dostęp do komputerów to się użytkownik nie połapie. Stąd też bardzo ostrożnie należy podchodzić do korzystania z komputerów niezaufanych np w firmie.
Problemem jest to co będzie robione z tym ruchem na proxy.
Opera nie ma tu potrzeby wrzucania żadnych certyfikatów, ponieważ adres proxy ma zaszyty w kodzie i ufa mu z automatu. Po prostu zapytania są wewnętrznie przechwytywane (jeszcze w aplikacji) i wrzucane w szyfrowany tunel. Na miejscu, zapytanie jest rozszyfrowywane, odczytywane i na jego podstawie wykonywane jest nowe zapytania. I tak, jest to klasyczny MiTM.
Ale adres proxy nie ma nic do rzeczy.
A cert owszem można zaszyć w kodzie przeglądarki.
Czyli to samo co funkcja Opera Turbo/OfRoad
Tyle że dodali obsługę SSL i działa na szyfrowanych witrynach, bo proxy turbo z opery 12 nie działało na https.
„VPN” dla ubogich i nie nadaje się nawet na fora, chyba że zdobędzie popularność, to będą za pomocą tego spamować po witrynach, ale pod https. Lipa na maxa :-D
Ja u siebie już te ich serwery powycinałem. :)
Swoją drogą patrząc na definicję VPNa, nie ma nic o poufności czy anonimowości. Za wikipedia: „A virtual private network (VPN) extends a private network across a public network, such as the Internet.”
I np. taki protokół tunelujący GRE (zaliczany jako jeden z VPN-owych) – w ogóle nie ma warstwy krypto.
To raczej popularnie: VPN = bezpieczne, co niekoniecznie jest prawdą.
W definicji samochodu nie ma nic o wygodzie czy prestiżu :)
Istotą VPNa wydaje mi się to, że umożliwia komunikację pomiędzy klientami tak jakby znajdowali się w jednej sieci. Jak się podłącze do „VPN” opery, to kto będzie mógł nawiązać ze mną połączenie?
Dzięki za szybkie podjęcie tematu o który pytałem w e-mailu
Myślę, że tutaj bardziej chodzi o pozyskiwanie informacji po jakich stronach chodzą użytkownicy itd. Wbrew pozorom, to bardzo cenne dane dla wielu firm. Wcześniej Opera też mogła zbierać takie informacje, jednak tylko jak wyraziłeś na to zgodę i „sam” je wysłałeś (zakładając, że po drodze nic ich nie zablokowało). Zbieranie i katalogowanie danych z własnego proxy jest znacznie łatwiejsze.
Warto również obserwować kto w najbliższej przyszłości zacznie wkładać kasę w Operę, bo ta zmiana jest raczej skierowania pod potrzeby takiej/takich organizacji.
Ale ale – to oczywiste że nie tuneluje torrentów, komunikatorów itd – one są poza przeglądarką.
Najważniejsze pytanie – co widzi ISP, admin w firmie jak odpalicie takiego VPNa.
Poza http co np z websocketami? Czy widać w firmie coś poza połączeniem z serwerem opery czy żywcem ip na jaki do websocketów łączy się opera?
Widzi ze ma kolejne badziewie do przyblokowania. ;)
Choć w lepszych sieciach pewnie po prostu opera odmówi współpracy.
A tam gdzie nie można zacząć od zablokowania wszystkiego bo facebóg to admini będą musieli z palca zabić potwora zanim dane z firm wypłyną.
Warto dodać, że zapytania DNS idą w normalny sposób, więc np. nasz dostawca i tak jest w stanie domyślić się, jakie strony odwiedzamy.
dnsleaktest.com opera przechodzi bez wycieku więc chyba jednak dns nie idą nie normalnie tylko też przez vpn.
A czy ktoś oczekiwał, że to będzie działać poza przeglądarką?
Czy tak samo można powiedzieć, że tor browser jest zły bo nie cebuluje połączeń z np. gg?
Ta funkcja działa jak vpn i spełnia jego funkcje tylko z ograniczeniem do jednego programu.
Ja, póki opera nie została kupiona przez Chiny będę jej używać ale jeśli akcjonariusze się zgodzą to szybko na vivaldii uciekać. Szkoda, że akurat gdy ta zaczęła się wybijać :/
„Ta funkcja działa jak vpn i spełnia jego funkcje tylko z ograniczeniem do jednego programu.”
Nie prawda, nie działa jak VPN. Działa jak serwer proxy.
Niech ktoś poda IP:Port tego proxy.
Coś za coś. Proxy to będzie zapewne używane do omijania barier regionalnych, takich jak ma Netflix czy YouTube dla części filmów i klipów muzycznych. Gdyby nie robili MITM z SSL to strony odwiedzane przez użytkowników łatwo mogłyby sprawdzić czy ktoś używa proxy i mimo wszystko takiego użytkownika zablokować.
Czy można nazwać to VPN-em można się chyba spierać. Serwer z którym się łączy użytkownik właściwie nie wie, że tak naprawdę łączy się z proxy, więc od strony serwera web nie ma różnicy pomiędzy tego typu proxy a VPN-em.
No i jest jeden duży plus tego rozwiązania od Opery: ze świecą szukać darmowego anonimizującego proxy które się nie wlecze. A Opera już przy okazji Turbo czy Opery Mini pokazała, że radzą sobie z przekazywaniem ruchu świetnie i można spokojnie strony internetowe przeglądać.
Jeśli dobrze kojarzę i potrzebujecie „darmowy vpn” to sprawdźcie aplikacje poniżej:
– Onavo (należy do Fb)
– Opera Max
vpn ten nie zapewnia anonimowości, z reszta nie taka jest funkcja vpn-a czy nawet proxy… ważne że omija wszelkie blokady na strony od lokalnych po rządowe.
ehhh a Riseup oferuje VPN (i to w prawdziwym słowa znaczeniu) kompletnie za darmo [wiadomość tylko do redakcji :P ]
Ps. Jeśli chcielibyście założyć konto mail/jabber właśnie na riseup’ie odezwijcie sie na maila ;)
Riseup nie oferuje niczego „za darmo”. Widac, ze nawet nie bylo cie stac na przeczytanie jak dziala Riseup.
Witam może ktoś poradzić co zrobić, bo opera VPN przestała mi działać po kilku dniach i nie łączy się z serwerami w trybie VPN.
Wielokrotne przeinstalowywanie, czyszczenie itd nic nie dało.
Gdzieś wyczytałem, że trzeba usunąć w przeglądarce usługi firm trzecich, ale nie wiem jak to zrobić.