Abo
  • Services:

Security: Operas VPN ist nur ein HTTP-Proxy

Opera wirbt in der neuesten Developer-Version des Browsers mit einem integrierten VPN - doch das stimmt nicht ganz. Das angebliche VPN hat außerdem ein Privatsphäre-Problem.

Artikel veröffentlicht am ,
Operas VPN ist eher ein Proxy.
Operas VPN ist eher ein Proxy. (Bild: Opera)

Der norwegische Browserhersteller Opera will die Privatsphäre der Nutzer mit einer neuen Funktion schützen - doch das beworbene VPN-Feature ist nur ein HTTP-Proxy. Wie der Sicherheitsforscher Michal Spacek schreibt, handelt es sich eben nicht um ein vollwertiges VPN, außerdem gibt es ein potenzielles Privatsphäre-Problem. Für erfahrene Nutzer dürfte klar sein, dass ein solcher Dienst in einem Browser nur den Webtraffic verschlüsselt und mit einer neuen IP versieht - unerfahrene Nutzer könnten hier aber in die Irre geführt werden.

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Vaihingen
  2. Robert Bosch GmbH, Schwieberdingen

Die durchgängig als VPN beworbene Funktion lässt sich in der aktuellen Developer-Version von Opera in den Einstellungen aktivieren. Nach der Aktivierung ist der Proxy dann automatisch aktiv, der Status wird in der Adresszeile links neben der URL angezeigt. Mit einem Klick sehen Nutzer, wie viel Daten bereits übertragen wurden. Außerdem kann zwischen drei Standorten gewählt werden. Neben Deutschland stehen Server in den USA und Kanada zur Auswahl.

Opera nutzt die API des VPN-Betreibers Surfeasy für den Dienst. Die Verbindung erfordert eine Autorisierung durch den Nutzer, die aber automatisch durchgeführt wird. Dazu generiert Opera eine mit SHA1 gehashte Device-ID und ein Device-Passwort. Mit einem einfachen Python-Skript auf Github können Nutzer ihre eigenen Zugangsdaten herausfinden und diese auch auf einem anderen Gerät einsetzen.

Die Device-ID bleibt stabil

Die Device-ID bleibt zudem stabil, könnte also eingesetzt werden, um Nutzer im Netz zu verfolgen. Auch nach einer Neuinstallation des Browsers soll diese, Spacek zufolge, erhalten bleiben. Nur wenn die Nutzerdaten manuell gelöscht werden, wird auch eine neue ID erzeugt. Würde diese ID bei jedem Start des Browsers neu erstellt, wäre der Privatsphäre deutlich mehr geholfen.

Die Verbindungsgeschwindigkeit war im kurzen Test jedoch gut - wir erreichten rund 50 MBit/s. Im Test mit einem US-Server funktionierte auch die Verbindung über Netflix und der Zugriff auf in Deutschland nicht verfügbare Inhalte. Es dauerte jedoch deutlich über eine Minute, bis der Inhalt in HD-Qualität dargestellt wurde. Zu Aussetzern kam es in unserem kurzen Test jedoch nicht.

Krystian Kolondra von Opera verteidigte die Benennung im Gespräch mit Helpnetsecurity: "In unserem Fall kommen wir mit einem neuen Begriff: Browser VPN - und unser Ziel ist, dass alle Netzwerkaktivitäten des Browsers über unseren sicheren Proxy geleitet werden - anders als die normalen Proxies, die nur den Webtraffic routen. Es ist was anderes als ein systemweiter VPN, aber es ist auch anders als ein Proxy. Deshalb: Browser VPN." Nicht alle Plugins würden bereits den Proxy nutzen, sagte Kolondra, und nannte WebRTC als Beispiel. Das soll in späteren Versionen der Developer Preview behoben werden.

Auch ein vollwertiger VPN hat Limitierungen: Zwar lässt sich damit die eigene IP-Adresse verschleiern, außerdem kann in einem offenen WLAN der eigene Datenverkehr auf unverschlüsselten Webseiten vor Mitlesern geschützt werden. Doch am Ende kommen unverschlüsselte Daten eben auch bei einem VPN unverschlüsselt heraus. Außerdem lassen sich Nutzer auch über Fingerprinting deanonymisieren. Verschiedene Privacy-Boxen setzen ebenfalls auf VPN-Netzwerke, viele bieten aber auch hier nur wenig mehr Schutz.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. täglich neue Deals bei Alternate.de

stressimo 29. Apr 2016

Hallo, wie ist es möglich, die Zugangsdaten mit dem Python Skript auszulesen? Habe dazu...

Tyler Durden 27. Apr 2016

ROTFL! WTF? Wo ist die Logik oder der Sinn in diesem Posting? Wo fehlt mir deiner...

Nullmodem 26. Apr 2016

Die allermeisten Benutzer von VPN brauchen das, um Netflix zu schauen, mit Privatsphäre...

Ymi_Yugy 25. Apr 2016

Problematisch wird es bei Fingerprinting immer dann, wenn meine konkrete Person oder ein...


Folgen Sie uns
       


Windows 10 on Snapdragon - Test

Wir schauen uns Windows 10 on ARM auf zwei Snapdragon-Notebooks an.

Windows 10 on Snapdragon - Test Video aufrufen
Razer Blade 15 im Test: Schlanker 15,6-Zöller für Gamer gefällt uns
Razer Blade 15 im Test
Schlanker 15,6-Zöller für Gamer gefällt uns

Das Razer Blade 15 ist ein gutes Spiele-Notebook mit flottem Display und schneller Geforce-Grafikeinheit. Anders als im 14-Zoll-Formfaktor ist bei den 15,6-Zoll-Modellen die Konkurrenz aber deutlich größer.
Ein Test von Marc Sauter

  1. Gaming-Notebook Razer packt Hexacore und Geforce GTX 1070 ins Blade 15
  2. Razer Blade 2017 im Test Das beste Gaming-Ultrabook nun mit 4K

KI in der Medizin: Keine Angst vor Dr. Future
KI in der Medizin
Keine Angst vor Dr. Future

Mit Hilfe künstlicher Intelligenz können schwer erkennbare Krankheiten früher diagnostiziert und behandelt werden, doch bei Patienten löst die Technik oft Unbehagen aus. Und das ist nicht das einzige Problem.
Ein Bericht von Tim Kröplin

  1. Medizintechnik Künstliche Intelligenz erschnüffelt Krankheiten
  2. Dota 2 128.000 CPU-Kerne schlagen fünf menschliche Helden
  3. KI-Bundesverband Deutschland soll mehr für KI-Forschung tun

Hasskommentare: Wie würde es im Netz aussehen, wenn es uns nicht gäbe?
Hasskommentare
"Wie würde es im Netz aussehen, wenn es uns nicht gäbe?"

Hannes Ley hat vor rund anderthalb Jahren die Online-Initiative #ichbinhier gegründet. Die Facebook-Gruppe schreibt Erwiderungen auf Hasskommentare und hat mittlerweile knapp 40.000 Mitglieder. Im Interview mit Golem.de erklärt Ley, wie er die Idee aus dem Netz in die echte Welt bringen will.
Ein Interview von Jennifer Fraczek

  1. Nutzungsrechte Einbetten von Fotos muss nicht verhindert werden
  2. Bundesnetzagentur UKW-Abschaltung abgewendet
  3. Drupalgeddon 2 115.000 Webseiten mit Drupallücken übernommen

    •  /