Security: Operas VPN ist nur ein HTTP-Proxy

Opera wirbt in der neuesten Developer-Version des Browsers mit einem integrierten VPN - doch das stimmt nicht ganz. Das angebliche VPN hat außerdem ein Privatsphäre-Problem.

Artikel veröffentlicht am ,
Operas VPN ist eher ein Proxy.
Operas VPN ist eher ein Proxy. (Bild: Opera)

Der norwegische Browserhersteller Opera will die Privatsphäre der Nutzer mit einer neuen Funktion schützen - doch das beworbene VPN-Feature ist nur ein HTTP-Proxy. Wie der Sicherheitsforscher Michal Spacek schreibt, handelt es sich eben nicht um ein vollwertiges VPN, außerdem gibt es ein potenzielles Privatsphäre-Problem. Für erfahrene Nutzer dürfte klar sein, dass ein solcher Dienst in einem Browser nur den Webtraffic verschlüsselt und mit einer neuen IP versieht - unerfahrene Nutzer könnten hier aber in die Irre geführt werden.

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) Netzwerk- und Anwendungssupport
    VIVAVIS AG, Bochum
  2. IT-Systemspezialist (m/w/d)
    BARMER, Wuppertal
Detailsuche

Die durchgängig als VPN beworbene Funktion lässt sich in der aktuellen Developer-Version von Opera in den Einstellungen aktivieren. Nach der Aktivierung ist der Proxy dann automatisch aktiv, der Status wird in der Adresszeile links neben der URL angezeigt. Mit einem Klick sehen Nutzer, wie viel Daten bereits übertragen wurden. Außerdem kann zwischen drei Standorten gewählt werden. Neben Deutschland stehen Server in den USA und Kanada zur Auswahl.

Opera nutzt die API des VPN-Betreibers Surfeasy für den Dienst. Die Verbindung erfordert eine Autorisierung durch den Nutzer, die aber automatisch durchgeführt wird. Dazu generiert Opera eine mit SHA1 gehashte Device-ID und ein Device-Passwort. Mit einem einfachen Python-Skript auf Github können Nutzer ihre eigenen Zugangsdaten herausfinden und diese auch auf einem anderen Gerät einsetzen.

Die Device-ID bleibt stabil

Die Device-ID bleibt zudem stabil, könnte also eingesetzt werden, um Nutzer im Netz zu verfolgen. Auch nach einer Neuinstallation des Browsers soll diese, Spacek zufolge, erhalten bleiben. Nur wenn die Nutzerdaten manuell gelöscht werden, wird auch eine neue ID erzeugt. Würde diese ID bei jedem Start des Browsers neu erstellt, wäre der Privatsphäre deutlich mehr geholfen.

Golem Akademie
  1. Dive-in-Workshop: Kubernetes
    17./19./24./26. August 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Die Verbindungsgeschwindigkeit war im kurzen Test jedoch gut - wir erreichten rund 50 MBit/s. Im Test mit einem US-Server funktionierte auch die Verbindung über Netflix und der Zugriff auf in Deutschland nicht verfügbare Inhalte. Es dauerte jedoch deutlich über eine Minute, bis der Inhalt in HD-Qualität dargestellt wurde. Zu Aussetzern kam es in unserem kurzen Test jedoch nicht.

Krystian Kolondra von Opera verteidigte die Benennung im Gespräch mit Helpnetsecurity: "In unserem Fall kommen wir mit einem neuen Begriff: Browser VPN - und unser Ziel ist, dass alle Netzwerkaktivitäten des Browsers über unseren sicheren Proxy geleitet werden - anders als die normalen Proxies, die nur den Webtraffic routen. Es ist was anderes als ein systemweiter VPN, aber es ist auch anders als ein Proxy. Deshalb: Browser VPN." Nicht alle Plugins würden bereits den Proxy nutzen, sagte Kolondra, und nannte WebRTC als Beispiel. Das soll in späteren Versionen der Developer Preview behoben werden.

Auch ein vollwertiger VPN hat Limitierungen: Zwar lässt sich damit die eigene IP-Adresse verschleiern, außerdem kann in einem offenen WLAN der eigene Datenverkehr auf unverschlüsselten Webseiten vor Mitlesern geschützt werden. Doch am Ende kommen unverschlüsselte Daten eben auch bei einem VPN unverschlüsselt heraus. Außerdem lassen sich Nutzer auch über Fingerprinting deanonymisieren. Verschiedene Privacy-Boxen setzen ebenfalls auf VPN-Netzwerke, viele bieten aber auch hier nur wenig mehr Schutz.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elon Musk
Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
Artikel
  1. Loongson 3A5000: Chinesische Quadcore-CPU mit eigenem Befehlssatz
    Loongson 3A5000
    Chinesische Quadcore-CPU mit eigenem Befehlssatz

    50 Prozent schneller als der Vorgänger-Chip und dabei sparsamer: Der 3A5000 mit LoongArch-Technik stellt einen wichtigen Umbruch dar.

  2. Probefahrt mit EQS: Mercedes schüttelt Tesla ab, aber nicht die Klimakrise
    Probefahrt mit EQS
    Mercedes schüttelt Tesla ab, aber nicht die Klimakrise

    Der neue EQS von Mercedes-Benz widerlegt die Argumente vieler Elektroauto-Gegner. Auch die Komforttüren gefallen uns.
    Ein Bericht von Friedhelm Greis

  3. Förderprogramm: Bund will Fachkräfte für Akkuindustrie ausbilden lassen
    Förderprogramm
    Bund will Fachkräfte für Akkuindustrie ausbilden lassen

    Die Aus- und Weiterbildung für Fachleute im Bereich Akkuproduktion und -entwicklung wird mit 40 Millionen Euro aus der Staatskasse gefördert.

stressimo 29. Apr 2016

Hallo, wie ist es möglich, die Zugangsdaten mit dem Python Skript auszulesen? Habe dazu...

Tyler Durden 27. Apr 2016

ROTFL! WTF? Wo ist die Logik oder der Sinn in diesem Posting? Wo fehlt mir deiner...

Nullmodem 26. Apr 2016

Die allermeisten Benutzer von VPN brauchen das, um Netflix zu schauen, mit Privatsphäre...

Ymi_Yugy 25. Apr 2016

Problematisch wird es bei Fingerprinting immer dann, wenn meine konkrete Person oder ein...



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • ASUS TUF VG279QM 280 Hz 306,22€ • Fractal Design Meshify C Mini 69,90€ • Acer Nitro XF243Y 165Hz OC ab 169€ • Samsung C24RG54FQR 125€ • EA-Promo bei Gamesplanet • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /