Beantwortet: Wie kann man PP wirklich trauen?

[notthepolice]

- Google Ad Manager auf der Webseite, als Firma, welche sich Privacy auf die Fahne schreibt?
- Kein Audit? Demnach keine Belege dafür, dass die Privacy Policy auch tatsächlich praktiziert wird?

Audits, die eine No Logs Policy bescheinigen sind wichtig für´s Vertrauen. Aber insbesondere Security Audits, die die Infrastruktur, Konfigurationen unter die Lupe nehmen, sind doch wirklich enorm wichtig. Bei jedem Anbieter, der ein solches Audit durchführen hat lassen, kamen teils gravierende Schwachpunkte ans Tageslicht. Schwachpunkte, die die Komprimittierung von Daten ermöglichen. Insbesondere Behörden haben ein großes Interesse daran, VPN Traffic mitzulesen, das ist kein Geheimnis. Gerade die, die etwas verbergen wollen, nutzen nun mal VPN Anbieter, um sich zu schützen...nicht nur Leute wie ich, denen einfach Privatsphäre wichtig ist. Demnach kann davon ausgegangen werden, dass Behörden konstant versuchen, Lücken in Systemen von VPNs auszunutzen. Daher halte ich regelmäßige Security Audits für essenziell - warum gibt es keine? Wo kommt das Vertrauen und der hohe Preis her?

Insgesamt ist das etwas wenig für einen Anbieter, der mitunter der teuerste am Markt ist.
Wie könnt ihr euch sicher sein, dass euer Vertrauen nicht ausgenutzt wird?

 

[kafka]

1. PP ist nicht die Caritas und möchte Geld verdienen. Google wird eben auf deren Website benutzt um die Zugriffe zu kanalisieren, ebenso die Keywords die zur Website führten. Isse halt so. Sehe ich nicht als kritisch an.

2. Der Quelltext des Windows Clients (neue Version) liegt doch auf Github?

3. Jeder aus der privaten Wirtschaft weiß wie "Audits" funktionieren. Heile Welt vorspielen kann im Endeffekt jeder. Persönlich halte ich es nicht für Aussagekräftig.

Übrigens maximal uncool Ausgangsposts zu bearbeiten, wenn eine Frage beantwortet ist, siehe den Zweiten Punkt bei dir. So funktioniert das nicht. ;-)

 

[notthepolice]

1. PP ist nicht die Caritas und möchte Geld verdienen. Google wird eben auf deren Website benutzt um die Zugriffe zu kanalisieren, ebenso die Keywords die zur Website führten. Isse halt so. Sehe ich nicht als kritisch an.

2. Der Quelltext des Windows Clients (neue Version) liegt doch auf Github?

3. Jeder aus der privaten Wirtschaft weiß wie "Audits" funktionieren. Heile Welt vorspielen kann im Endeffekt jeder. Persönlich halte ich es nicht für Aussagekräftig.

1. Ich glaube ein wenig Idealismus schadet im VPN Bereich nicht, wenn man sich die enorme Kommerzialisierung des Marktes anschaut. Außerdem überleben viele andere Anbieter auch ohne Google-Dienste...da gehts einfach um´s Prinzip. Wasser predigen und Wein trinken...immerhin keine Tracker in den Apps.
2. Stimmt, habe ich korrigiert, sorry.
3. Wenn Du nochmal drüber liest, was ich geschrieben habe, erkennst du vielleicht dass ich kein Heile Welt Vorspiel brauche, sondern es um harte Fakten geht, nämlich Sicherheitslücken, die ausgenutzt werden können. Audits offenbaren diese teils sehr kritischen Lücken und das ist enorm wichtig für die Sicherheit eines Anbieters. ANBIETER DIE KEINE AUDITS DURCHFÜHREN, SPIELEN EINE HEILE WELT VOR.

Edit: Ist nicht uncool, habe ich unter Punkt 2 richtiggestellt und mich entschuldigt.

 

[kafka]

1. Eine Firma muss Geld verdienen, auch PP. Das ist schlicht so. "Google" ist ja per se nicht gut oder schlecht, sondern eben Google. Wie man dazu stehen kann als Privatperson ist das Eine, als kommerzieller Anbieter im Netz kommt man nur schwierig davon ab. Aber Ja, ist durchaus ein legitimer Kritikpunkt, will ich nicht gänzlich in Abrede stellen.

3. Audits sind oft heile Welt, weil alles dafür getan wird (vorher), den Idealzustand darzustellen. Im Endeffekt können Teammitglieder dies aber eher erklären als ich als Nutzer.

Ich habe keinen Vorteil dadurch, ob du nun PP traust oder nicht traust oder zahlendender Nutzer wirst oder nicht wirst.

 

[Barbiehunter]

Ich verstehe den punkt mit Audit. Klar man weiß wer hinter PP steht und es Leute sind die wissen was sie tun. Nur was spricht dagegen, wenn eine gruppe wie z.B. Cure53 die schon mehrere VPNs sogar geprüft haben da mal rüber gucken? Klar PP könnte wenn der Audit kommt alles schön machen, dass Cure53 sagt alles suppi, nur man kennt PP und weiß die würden dies nicht machen. Am ende hättest du das vertrauen von PP selbst + source code (nur Windows atm) + Cure53/Audit. Am ende macht jeder Mensch Fehler, und die von PP machen ja auch welche. Am ende kann man als Anbiter nie zu 100% Zeigen "Wir loggen nix", man kann es aber zeigen. also vertrauenswürdig sein, Code offen haben von x programme & Audits.

 

[BAM-BAM]

Ich verstehe den punkt mit Audit. Klar man weiß wer hinter PP steht und es Leute sind die wissen was sie tun. Nur was spricht dagegen, wenn eine gruppe wie z.B. Cure53 die schon mehrere VPNs sogar geprüft haben da mal rüber gucken?

Ich würde einen Audit auch befürworten.
Nicht weil ich PP nicht vertraue. Aber jeder kann was übersehen, ein Audit kann eine vorhandene Sicherheitslücke finden und PP kann es dann beheben.

Interessieren würde mich, was so ein Audit kostet.

 

[Polygon]

1. PP ist nicht die Caritas und möchte Geld verdienen. Google wird eben auf deren Website benutzt um die Zugriffe zu kanalisieren, ebenso die Keywords die zur Website führten. Isse halt so. Sehe ich nicht als kritisch an.

2. Der Quelltext des Windows Clients (neue Version) liegt doch auf Github?

3. Jeder aus der privaten Wirtschaft weiß wie "Audits" funktionieren. Heile Welt vorspielen kann im Endeffekt jeder. Persönlich halte ich es nicht für Aussagekräftig.

Übrigens maximal uncool Ausgangsposts zu bearbeiten, wenn eine Frage beantwortet ist, siehe den Zweiten Punkt bei dir. So funktioniert das nicht. ;-)

 

[notthepolice]

1. Eine Firma muss Geld verdienen, auch PP. Das ist schlicht so. "Google" ist ja per se nicht gut oder schlecht, sondern eben Google. Wie man dazu stehen kann als Privatperson ist das Eine, als kommerzieller Anbieter im Netz kommt man nur schwierig davon ab. Aber Ja, ist durchaus ein legitimer Kritikpunkt, will ich nicht gänzlich in Abrede stellen.

3. Audits sind oft heile Welt, weil alles dafür getan wird (vorher), den Idealzustand darzustellen. Im Endeffekt können Teammitglieder dies aber eher erklären als ich als Nutzer.

Ich habe keinen Vorteil dadurch, ob du nun PP traust oder nicht traust oder zahlendender Nutzer wirst oder nicht wirst.

1. Da sind wir uns also halbwegs einig
2. Bzgl. der Open Source Sache ist es natürlich albern dass @kafka den Punkt erneut aufgreift und kritisiert, dass ich den Part gelöscht habe, obwohl ich das ja lediglich richtig gestellt habe. Aber gut, an sich ist der Punkt auch nicht ganz in Abrede zu stellen, da ja anscheinend nur der Windows Client Open Source ist...das ist ein bissl wenig für "Premium"
3. Den Punkt mit den Audits möchte ich doch nochmal aufgreifen. Ich habe mehrere gelesen und die beschönigen gar nichts. Es ist naiv zu glauben, man bräuchte keine und man hätte keine Schwachstellen. Alle Audits die ich kenne, schildern harte Fakten. Nur die VPN Anbieter beschönigen das in ihrer Stellungnahme, meist in Form eines Blogposts. Deswegen ist es immer wichtig, das gesamte Audit zu lesen.
Audits sind harte Fakten, zeigen ungeschönt Schwachstellen und Handlungsbedarfe auf. Immer interessant, wie VPN Anbieter die Audit Ergebnisse verkaufen

 

[BAM-BAM]

@PP Christian

Kannst du bitte Stellung nehmen, sonst wird das wieder mal, wie schon so oft, ein Ping Pong Thema ohne Ende. Danke

 

[Nul]

Hmm, gleich kommt 'ne Wiederholung von Star Trek oder so am Fernseh, also fasse ich mich kurz:

- Google zur Datenanalyse der Homepage/Stichwörter oder so, wurde in einem anderen Topic erklärt
- Sich auf Audits zu verlassen ist wie Wahlwerbung von Politikern zu vertrauen (obwohl ich zugeben muss, das die Audits von VPNs teilweise schlechter als erwartet sind, und ich stelle von vorn herein keine hohen Ansprüche bei VPN Audits)
- Behören haben Interesse an VPN Traffic? Genial, da schon (soweit ich weiß) mind. 2x Server von PP beschlagnahmt wurden. Und die Behören, die sich seit Jahrzehnten damit Brüsten, das sich Kriminalität nicht lohnt, man sich nicht verstecken kann und SIE immer gewinnen mussten kleinlaut zugeben, das sämtliche Versprechen von PP eingehalten wurden und überhaupt gar nix von den Servern zu holen war (k.a. in welchen Topics das war)
- Wenn etwas umsonst ist, bist DU das Produkt. Heißt nicht, das sobald etwas Geld kostet automatisch alles so läuft wie es soll, aber wie soll ein Anbieter 5000+ Server haben, mit Teilweise 20 Gbit pro sekunde für 1,** Euro pro Monat abzüglich Provision an den Youtuber/Streamer/Testportal? Die Server laufen auch nicht mit Luft und Liebe. Von allen anderen Kosten ganz zu schweigen ^^ (Da sehe ich pers. kein Problem, wenn ich einen Preis zahle der "ohne Nebeneinkünfte" realistisch erscheint)
- Vertrauen ausnutzen? Also, bei sehr, sehr, sehr vielen Anbietern weiß man es (sofern es nicht eh schon in den AGBs steht). Man muss nur wissen, wie und wonach man Sucht. Und glaube mir, es wäre schon längst von allen Meckerziegen hier im Forum breit getreten worden wenn es dafür auch nur den Ansatz einer Vermutung gäbe
- Ich dachte immer, Leute die etwas zu verbergen hätten, würden TOR benutzen (oder i2p oder so)
- "Immerhin keine Tracker in den Apps". Wenn du das herausbekommst, dann hast du so tiefgehende EDV-Kenntnisse, das du die Forumsuche benutzen kannst und eigentlich die meisten Fragen beantwortet bekommst
- Sicherheitslücken. Schau dir mal an, wer die Sicherheitslücken hat und wer nicht. Tunnelcrack ist nur das allerneueste. Und selbst der alte Client (baujahr 201x)war sicher dagegen (selbst mir der Einstellung, das du zugriff auf den Lokalen Router hast). Das sind wohl 99% der anderen VPN anbieter und deren Clients nicht. Genauso viele andere Angriffmethoden, gegen die PP von "schon davor" gesichert war (steht im Blog was, aber wie gesagt, jemand mit deinen Kenntnissen findet das auch alleine heraus).
- Heile Welt vorspielen. Wo hat PP heile WElt vorgespielt oder Versprochen was nicht der Wahrheit entspricht?
- Alleine die Tatsache mit dem Warrant Carnary [edit] Aktualisieren (man kann nicht einfah so [edit] an der homepage [edit ende)]was ändern und gut ist, sondern es gibt schutzmaßnahmen, die das verhindern. Oder andere Schutzmaßnahmen, das nicht jemand zugriff zum Server erhält und dort unfug treibt. Oder das in div. Ländern z. B. keine neuen Server kommen, da die Rechenzentren nicht den Anforderungen, Sicherheit, Seriösität oder was auch immer entsprechen und nicht zu jedem Anbieter gegangen wird usw...)
- Was erwartest du denn mehr bei diesem Punkt als Open Source Client bei "Premium"? Was muss noch alles zusätzlich kommen das es für dich "Premium" gerecht wird?
- Es ist hier im Forum schon ein paar mal erwähnt wurde, das man keine bezahlten Testergebnisse bei VPN tests schalten lässt, da man Seriös ist und so etwas nicht nötig hat. Ist zwar hier nicht angesprochen worden aber eine Erwähnung wert. Unterscheidet auch einen guten Anbieter von den anderen.

Ganz schön viel für jemanden, der erst heute im Forum beigetreten ist. Wie informierst du dich bei 99% der anderen VPN Anbieter, die kein Forum haben? (Wir dürfen hier ja auch Fragen stellen, nicht nur du)

(edit: Ich weiß, das ist überflüssig, da gar kein Interesse besteht, aber du sollst wissen das solche dummen Spielchen wo anders klappen mögen, bei uns nicht)

 

[Barbiehunter]

Gib auch nochmal mein Kommentar dazu einfach:

Weil ja dieses "Behörden" Thema kommt und die ja immer nach lücke x und lücke y gucken, macht ein Audit doch sogar mehr sinn? Was ist wenn PP eine kleine Lücke, niemand davon was weiß und schon der böse Paul geschnappt wurde deswegen. Weiß man davon was, nein? gibt es immer sicherheitslücken? klar. Man muss sich mit ein Audit sich selbst nicht priesen, es ist nur was bei PP ja finde ich persönlich wichtig ist, eine Extra sache die nochmal sagt "Wir sagen wir loggen nicht, daher haben wir ein Audit gemacht die dies nochmal zeigen." Ist am ende doch wie mit der Warrant Canary etwas, braucht es PP? Nein, Ist es Trotzdem schön es zu haben? für gewisse Leute wohl ja, genauso wie ein Transparent Bericht ja schön wäre vielleicht. Vielleicht etwas komischer vergleich, aber ist am ende doch wie das Essen wo es heißt "Ja wir sind Bio, wir kosten zwar etwas mehr, aber dafür gut" und dann wurde es sich angeguckt und oh? war ja doch nicht so (Weiß gerade nicht wo das war genau). Ist einfach diese Bestätigung von nicht dem Anbieter Selbst, weil der kann ja viel sagen. Möchte aber trotzdem sagen, nur weil ein Audit da ist heißt es nicht, dass man mehr Vertrauen muss. Und ohne das böse klingen zu lassen, wenn ein audit da wäre würden paar die "haten" und so sich bestimmt auch besser fühlen, weil DE, weil Buggy, weil wieso PP bla bla und welche der Treuen würden sich Freuen zu sehen, wenn ka wenig Probleme gefunden wurden, diese aber auch behoben wurden.

 

[Polygon]

Abgesehen davon das die Kosten eines Audits ziemlich erheblich sein können, reden wir hier von einer kleinen Gruppe an Softwareentwicklern und Privacy Enthusiasten und geschätzt von eienr kleinen bis mittelgroßen Kundschaft die diesen Dienst finanzieren.

Sicherheits und Leistungs Audits von VPN Software, Servern, Infrastruktur können einfach mal je nach komplexität die 150.000 Euro Marke knacken.

Jetzt meine Frage an @notthepolice wie soll ein kleines Unternehmen wie PP solche Summen stemmen?

Ein Audit wäre zwar schön, habe aber Verständnis dafür das ein kleines Unternehmen wie PP solche Kosten nicht tragen kann und Vertraue daher auf das was PP in der Vergangenheit an Privacy und Sicherheit abgeliefert hat. Bisher nur gutes!

Die wahl des VPN Anbieters ist nunmal auch ein stück Vertrauenssache.

 

[PP Christian]

Ganz schön viel für jemanden, der erst heute im Forum beigetreten ist.

Kommt mir vom Stil her auch irgendwie bekannt vor.

Ich kann zu Deiner Antwort nicht mehr viel hinzufügen.

Ein Audit wäre zwar schön

Es sind nicht nur die Kosten. Ich habe schon in einem anderen Thread mal erwähnt was Lars auf Serverebene für Vorkehrungen getroffen hat, um maximale Sicherheit zu gewährleisten. Ich war so beeindruckt davon dass ich gerne damit geworben hätte. Wir haben da lange drüber diskutiert und Lars konnte mich davon überzeugen dass wir damit auch alle unsere Alleinstellungsmerkmale bezüglich der Sicherheit verraten würden.

Wie schnell andere Anbieter, mit scheinbar endlosem Budget, Features von uns kopiert haben, habe ich schon bei TrackStop und vielem mehr gesehen. Ich meine wir waren auch die ersten die die Server auf Ram-Disks haben laufen lassen (Das ist so etwas aus Serverebene).

Wenn man nun ein Audit machen lassen würde, würde man dem durchführenden Unternehmen doch alle Geheimnisse verraten.

 

[Polygon]

Es sind nicht nur die Kosten. Ich habe schon in einem anderen Thread mal erwähnt was Lars auf Serverebene für Vorkehrungen getroffen hat, um maximale Sicherheit zu gewährleisten. Ich war so beeindruckt davon dass ich gerne damit geworben hätte. Wir haben da lange drüber diskutiert und Lars konnte mich davon überzeugen dass wir damit auch alle unsere Alleinstellungsmerkmale bezüglich der Sicherheit verraten würden.

Wie schnell andere Anbieter, mit scheinbar endlosem Budget, Features von uns kopiert haben, habe ich schon bei TrackStop und vielem mehr gesehen. Ich meine wir waren auch die ersten die die Server auf Ram-Disks haben laufen lassen (Das ist so etwas aus Serverebene).

Wenn man nun ein Audit machen lassen würde, würde man dem durchführenden Unternehmen doch alle Geheimnisse verraten.

Maucht ebenfalls sinn.

 

[BAM-BAM]

Wie schnell andere Anbieter, mit scheinbar endlosem Budget, Features von uns kopiert haben, habe ich schon bei TrackStop und vielem mehr gesehen. Ich meine wir waren auch die ersten die die Server auf Ram-Disks haben laufen lassen (Das ist so etwas aus Serverebene).

Wenn man nun ein Audit machen lassen würde, würde man dem durchführenden Unternehmen doch alle Geheimnisse verraten.

Da stimme ich zu.

 

[notthepolice]

Kommt mir vom Stil her auch irgendwie bekannt vor.

Ich kann zu Deiner Antwort nicht mehr viel hinzufügen.

Es sind nicht nur die Kosten. Ich habe schon in einem anderen Thread mal erwähnt was Lars auf Serverebene für Vorkehrungen getroffen hat, um maximale Sicherheit zu gewährleisten. Ich war so beeindruckt davon dass ich gerne damit geworben hätte. Wir haben da lange drüber diskutiert und Lars konnte mich davon überzeugen dass wir damit auch alle unsere Alleinstellungsmerkmale bezüglich der Sicherheit verraten würden.

Wie schnell andere Anbieter, mit scheinbar endlosem Budget, Features von uns kopiert haben, habe ich schon bei TrackStop und vielem mehr gesehen. Ich meine wir waren auch die ersten die die Server auf Ram-Disks haben laufen lassen (Das ist so etwas aus Serverebene).

Wenn man nun ein Audit machen lassen würde, würde man dem durchführenden Unternehmen doch alle Geheimnisse verraten.

Puuh also einerseits volle Transparenz und andererseits Geheimnisse, die nicht offen gelegt werden sollen. Passt für mich ehrlich gesagt nicht so ganz zusammen.. Serverkonfigurationen werden wegen einem Audit ja auch nicht öffentlich...aber ja natürlich landen sie bei einem Unternehmen, welches hohe Reputation genießen sollte. Halte ich und fast alle anderen seriösen VPN Anbieter für unproblemtatisch. Auch wenn kaum noch seriöse übrig geblieben sind, zugegebenermaßen. Und: Ich war zuvor in dem Forum nicht aktiv. Möglicherweise bin ich auch zahlender Kunde und möchte mir Meinungen einholen zu Themen, die mich umtreiben beim Benutzen des VPNs. Auch ich habe das Interview gesehen, auch ich gehe davon aus dass man PP vertrauen kann. Aber mir fehlen Zahlen/Daten/Fakten. Weil die Beschlagnahmung angesprochen wurde: Auch hier haben wir doch wieder nur die Auskunft von PP, nicht? Andere Anbieter haben bspw. das explizite Schreiben der Behörde, das nichts sichergestellt werden konnte, veröffentlicht. Insgesamt basiert das Vertrauen hier auf mehreren überzeugenden Aussagen des Anbieters. Dennoch würde es ein gutes Gefühl geben, wenn es Dritte bestätigen würden und man es schwarz auf weiß hat

 

[Barbiehunter]

Eine Sache die mir aufgefallen ist und kann man vllt auch als kleines "Vertrauensproblem" sehen.

Bei der Datenschutzerklärung wurde abseits 3 abgeändert zu dem neusten Standort von PP, Was ja schön ist & dies nicht vergessen wurde.

Wenn man aber nach unten geht, sieht man Stand 07.06.2018, was ja nicht stimmen kann? habe auch mit der waybackmachine mal geguckt, und da ist das gleiche datum mit dem Alten Standort dabei. Möchte nur auf das "Diese Erklärung wird entsprechend der aktuellen Auslegung der DSGVO fortlaufend aktualisiert." verweisen dabei.

 

[Polygon]

Und: Ich war zuvor in dem Forum nicht aktiv. Möglicherweise bin ich auch zahlender Kunde und möchte mir Meinungen einholen zu Themen, die mich umtreiben beim Benutzen des VPNs.

Nátürlich ...
Als Kunde macht man sich natürlich grosse mühe den VPN Dienst bei dem er ist möglichst schlecht zu reden und ins negatve licht zu rücken. Wer kennt's nicht.

Auch hier haben wir doch wieder nur die Auskunft von PP, nicht? Andere Anbieter haben bspw. das explizite Schreiben der Behörde, das nichts sichergestellt werden konnte, veröffentlicht.

Wo denn? Diese schreiben würde ich gerne mal sehen. ^^

 

[Nul]

Also,

Serverbeschlagnahmung in Rotterdam | Perfect Privacy

www.perfect-privacy.com

Hätte man selber finden können wenn man so Kompetent ist wie du und Tracker bzw. deren fehlen aufspüren kann. Spannend ist die Aussage der Serverfarm, das die Server zurück gegeben worden sind. Beweismaterial wird meines Wissens nach nicht den angeblichen Tätern/Mittäter zurück gegeben bevor überhaupt irgend ein Prozess oder sonstwas begonnen wird (das darf gerne ein Polizist, Rechtsanwalt/Richter oder wer dazu bessere Aussagen machen kann korrigieren/erweitern/Richtigstellen blablabla). Das Beweismaterial ist normalerweise Beweismaterial (d.h. man Braucht das Material als Beweis vor Gericht, kleines Wortspiel). Oder es wird Vernichtet. Oder geht als Eigentum der Polizei über. Oder oder oder.

Es gibt auch keine Fälle zu finden, deren Recherche/Beweissammlung auf diese Beschlagnahmung basiert. Wenn du google, bing, duck oder wen auch immer frägst wirst du bei anderen Fällen sofort neben Beschlagnahmung auch den Verdacht, Täter und so weiter finden.

Und nein, du hast mich nicht hereingelegt. Ich kenne deine seltendämlichen Tricks vermutlich schon bevor du überhaupt "gezeugt" wurdest. Gar nicht auf das Geschriebene eingehen sondern weiter machen in der Hoffnung, das der psychologische Laie diese Tricks nicht kennt, erkennt oder darauf hereinfällt/interessiert hinter dir steht. (Das macht nur jemand, der Erfahrung mit solchen schändlichen Praktiken hat)

Ich habe dir nur geantwortet, um dir den Wind aus die Segel zu nehmen. Keiner von uns hier im Forum ist so dumm; aber externe, die das nur Überfliegen, könnten da was übersehen.

Antworte und reagiere bitte mal auf alles, was man dir geschrieben hat. Sonst kann man nur noch sagen: Don't feed the troll

 

[PP Christian]

Eine Sache die mir aufgefallen ist und kann man vllt auch als kleines "Vertrauensproblem" sehen.

Danke für den Hinweis. Das ist schlicht übersehen worden. Ich werde das Datum bei Gelegenheit erneuern. Aber "Vertrauensproblem" klingt etwas überzogen, finde ich.