昨天,Opera宣布在其最新的开发者版本浏览器中添加了一款免费的VPN客户端,支持无限数据使用。这听起来不错,对吗?
Opera VPN的工作原理
根据来自布拉格的网页开发者和安全工程师Michal Špaček的研究,Opera的VPN实际上并不是一个真正的VPN,而只是浏览器的一个代理。他表示:“Opera提供的并不是一个真正的VPN。它只是一个浏览器的代理。如果你的隐私很重要(而且你应该关心你的隐私),你仍然需要一个完整的VPN。其他工具,例如电子邮件客户端(如Outlook),将无法使用这个‘VPN’。”
潜在的隐私问题
Špaček还提到,当设置VPN时,浏览器会请求一个名为device_id的内容,这个信息会在每个请求中发送到代理,并且在浏览器重启和重新安装后依然存在,除非你在卸载时删除用户数据。这可能被用于用户追踪,出于各种目的。
Opera VPN的技术细节
一旦用户在设置中启用该功能,Opera VPN会发送API请求以获取凭据和代理IP。浏览器随后会与一个像de0.opera-proxy.net的代理进行通信,只有在启用VPN功能时才能解析其IP地址。这是一个需要身份验证的HTTP/S代理。
当启用VPN的Opera浏览器加载页面时,它会向de0.opera-proxy.net发送多个带有Proxy-Authorization请求头的请求。
Proxy-Authorization头部解码
CC68FE24C34B5B2414FB1DC116342EADA7D5C46B:9B9BE3FAE67
4A33D1820315F4CC94372926C8210B6AEC0B662EC7CAD611D86A3
由于我们讨论的是一个代理,这些凭据可以在不同的机器上使用de0.opera-proxy.net进行连接。这意味着,如果你在没有安装Opera的计算机上使用该代理,你将获得与使用Opera VPN时相同的IP。
对代理的警告
PasswordsCon的创始人Per Thorsheim对此表示:“我对Opera在这方面感到有些惊讶。代理就是代理,通常针对一个特定的服务。VPN通常是一个加密隧道,为我们计算机上所有服务提供连接,直到远程主机进行解密并转发到最终目的地。虽然Opera可能出于良好的意图对定义进行了小的调整,但最终用户应该明白,Opera提供的这个免费服务远远达不到真正VPN解决方案的安全性。”
Opera的回应
更新:2023年4月23日,太平洋时间上午5:56 — Opera计算机的首席工程师Krystian Kolondra与我们联系并发表评论:“在我们的情况下,我们提出了一个新术语:浏览器VPN——我们的目标是将浏览器的所有网络活动通过我们的安全代理路由,而不是像通常的代理那样仅仅路由网页流量。因此,这与系统范围的VPN不同,但也不同于代理。因此——浏览器VPN。目前WebRTC和插件仍然没有这样路由——但我们对此非常开放——我们刚刚将其发布为开发者预览,并计划在即将更新中修复。”
总结
虽然Opera的免费VPN看似吸引人,但用户在使用前应仔细考虑其安全性和隐私保护能力。真正的VPN解决方案提供了更全面的保护,而Opera的浏览器VPN更像是一个限于浏览器的代理服务。确保在选择VPN服务时,充分了解其功能和潜在的隐私风险。
