Ang Proton Technologies, nga nagpalambo sa usa ka luwas nga serbisyo sa email ug VPN, mahitungod sa pagbukas Mga programa sa kliyente sa ProtonVPN alang sa , , и (kantilever bukas sa sinugdanan). Ang code bukas ubos sa lisensya sa GPLv3. Sa parehas nga oras, ang mga taho bahin sa usa ka independente nga pag-audit sa kini nga mga aplikasyon gipatik. Wala’y nakit-an nga mga isyu sa panahon sa pag-audit nga mahimong mosangput sa pag-decryption sa trapiko sa VPN o pag-uswag sa mga pribilehiyo.
Ang code kay open sourced isip kabahin sa usa ka project transparency initiative aron ang mga independent experts maka-verify nga ang code nakatuman sa gipahayag nga specifications ug verify nga ang security audits gihimo sa husto. Isip kabahin sa kooperasyon sa Mozilla, nga usa ka bayad nga serbisyo sa VPN, ang mga inhenyero sa Mozilla adunay usab access sa ubang mga teknolohiya sa ProtonVPN alang sa mga katuyoan sa pag-awdit. Namatikdan nga ang sunod nga lakang mao ang pagbalhin sa ubang mga aplikasyon sa ProtonVPN sa bukas nga kategorya.
Ang nangaging mga insidente sa ProtonVPN naglakip sa: sa aplikasyon para sa Windows, nga nagtugot sa usa ka tiggamit sa pagpataas sa ilang mga pribilehiyo sa sistema ngadto sa lebel sa administrador (ang kahuyangan gipahinabo sa dili husto nga interaksyon tali sa usa ka walay pribilehiyo nga GUI client ug usa ka serbisyo sa sistema).
Nahuman ang application code audit pipila ka adlaw ang milabay para sa Windows nagpadayag sa presensya (duha ka medium ug duha ka menor de edad): pagtipig sa mga token sa sesyon ug mga kredensyal sa memorya sa proseso, ang mga yawe sa server sa VPN nga gitakda nang daan sa file sa pag-configure (wala gigamit alang sa pag-authenticate), makapaarang sa impormasyon sa pag-debug ug pagdawat sa mga koneksyon sa tanan nga mga interface sa network.
Sa bersyon alang sa walay mga kahuyangan nga giila. Duha ka menor de edad nga isyu nga nakit-an sa bersyon sa iOS (Ang SSL certificate binding wala gigamit ug ang operasyon sa mga jailbroken device wala gibabagan). Sa bersyon para sa Android upat ka menor de edad nga mga problema (makapahimo sa debug nga mga mensahe, dili mobabag sa mga backup gamit ang ADB utility, pag-encrypt sa mga setting gamit ang gitakda nang daan nga yawe, dili pag-attach sa SSL certificate) ug usa ka kasarangang kahuyang (dili kompleto nga pagtapos sa sesyon, pagtugot sa paggamit pag-usab sa mga token sa sesyon).
Pahinumdum kami kanimo nga ang Proton Technologies gitukod sa daghang mga tigdukiduki gikan sa CERN (European Organization for Nuclear Research) ug narehistro sa Switzerland, nga adunay higpit nga mga balaod sa pagkapribado nga wala magtugot sa mga ahensya sa paniktik nga makontrol ang kasayuran. Ang proyekto sa ProtonVPN naghatag usa ka taas nga lebel sa seguridad sa channel sa komunikasyon (ang sapa gi-encrypt gamit ang AES-256, ang yawe nga pagbinayloay gihimo base sa 2048-bit nga mga yawe sa RSA ug HMAC, ang SHA-256 gigamit alang sa pag-authenticate, adunay proteksyon batok sa mga pag-atake nga gibase sa sa correlation sa data streams), nagdumili sa pagtipig sa mga troso ug naka-focus dili sa paghimo sa usa ka ganansya, apan sa pagpalambo sa seguridad ug privacy sa Web (ang proyekto gipundohan sa FONGIT nga pundo, gisuportahan sa European Commission).
Source: opennet.ru
