Unnötig zur Verschlüsselung

Bezüglich offener WLANs, zum Beispiel in Hotels, hast du mit deinem Beitrag natürlich vollkommen recht. In den allermeisten Fällen wird sowieso eine TLS verschlüsselte Verbindung verwendet.

Ich persönlich sehe den Haupteinsatz von VPN aber nicht darin, in Hotels zu surfen.

Hier geht es darum, übergriffigen Behörden und dem Staat einen Riegel vorzuschieben. Und da gibt es momentan, wenn man nicht auf TOR setzen will, was performancetechnisch kaum nutzbar ist, keinen anderen Weg, als ein VPN zu verwenden. Ein vertrauenswürdiges VPN vor allem.

Benutzer blumenwiese schrieb:
Und da gibt es momentan, wenn man nicht
Warum solte Tor performancemäßig nicht nutzbar sein? Wann hast du denn es zuletzt benutzt?
Tor schafft locker 7-10Mbit/s, gerne auch mal 15Mbit/s, und insofern du nicht gerade eine Node auf irgendeiner Insel bekommst sind auch die circuit Build times mittlerweile sehr sehr flott.

Die meisten Nodes haben >500Mbit/s Kapazität mittlerweile.

Also 10 MBit pro Sekunde stellen für mich keine ernstzunehmende Geschwindigkeit dar. Und selbst beim Surfen auf einfach gestalteten Internetseiten macht sich dieses Bottleneck bemerkbar. Also nein, Tor ist sicherlich für mich keine Alternative für einen vertrauenswürdiges VPN dar.

Benutzer blumenwiese schrieb:
Das es dann keine Alternative für dich ist, ist okay.

Aber beobachte auch mal den tatsächlichen Traffic auf Websites, mehr als 2-5Mbit/s wirst du 99% der Seiten beim Seitenaufbau nie sehen. Nur mal so für dich, einfach mal drauf achten.

Benutzer blumenwiese schrieb:

Die Performance ist bei TOR inzwischen nach meinem Eindruck selten das Problem, wenn man nicht gerade in UHD streamen möchte - im Zweifel kurz die Verbindung neu herstellen. Eine Lücke in der Verschlüsselung ist hier allerdings noch schwerwiegender als ohne VPN oder andere Tunnel, da die Behörden gerne selbst Knoten betreiben um mitzulesen, was mitzulesen ist.

Und da sind wir zurück beim Thema - und hier stimme ich dir gerne zu: Was den Überwachungsdrang betrifft, ist nicht nur "E-Mail Made in Germany" längst ein rotes Tuch, wie auch das Tutanota-Urteil der vergangenen Woche wieder zeigt. Aus *diesem* Grund ist die Nutzung eines halbwegs vertrauenswürdigen VPN-Betreibers durchaus sinnvoll! Nur war das überhaupt kein Aspekt, der von der Stiftung Warentest berücksichtigt wurde - im Gegenteil! Testsieger wurde ausgerechnet NordVPN, welches per AGB die Datenweitergabe an Behörden zusichert und in den USA (von den 14 Eyes brauchen wir hier erst gar nicht anzufangen!) seinen Sitz hat.

NordVPN sitzt in Panama. Und in ihrer Privacy Policy finde ich nirgends etwas von Datenweitergabe. Sie werben zumindest damit, dass sie keine Logs haben. Die Wahrhaftigkeit dieser Aussage kann ich natürlich nicht überprüfen.

Benutzer blumenwiese schrieb:

NordVPN schreibt:
"In cases where, following an appropriate legal process, we are able to identify a specific person, we will provide the limited data we process per our Privacy Policy. Depending on a specific case, this may include user’s email, payment information (date of purchase, payment method and available details), subscription period, password expiration date or a country the user chose when registering for the Services."

Dazu kommt:
"We reserve the right, at any time, in our sole discretion, with or without notice, to terminate the accounts of, and block access to the Services to any users who infringe any applicable laws or these Terms."

Solch absurde, verallgemeinerte AGBs und Nutzungsbedingungen sind, vorsichtig ausgedrückt, völlig unüblich unter VPN-Providern.

Benutzer consecuencia schrieb:

Was soll daran unüblich sein? Das ist vollkommen normal. Das müsste nicht einmal in den Bedingungen stehen. Hier ist vom Rechtsweg die Rede. Und wenn ein Gericht, unter dessen Jurisdiktion der Anbieter fällt, die Herausgabe von vorhandenen Daten verlangt, so ist der Anbieter dazu verpflichtet. Dazu muss nicht einmal irgendetwas in den Bedingungen stehen.


Ausnahmslos jeder Anbieter behält sich die Kündigung des Vertrages vor, wenn ein Benutzer gegen die Nutzungsbedingungen verstößt. Einzig der Passus, der davon spricht, dass dies auch ohne Benachrichtigung des Benutzers geschehen kann, ist zweifelhaft. Ändert aber nichts daran, dass ein Anbieter selbstverständlich einen Kunden rausschmeißt, wenn er glaubt, dieser würde gegen die Nutzungsbedingungen verstoßen.

Benutzer blumenwiese schrieb:

a) Findet hier gerade *keine* Eingrenzung auf die Jurisdiktion des Anbieters (vorgeblich Panama) statt, deshalb ist der Passus ja auch vonnöten. Es geht um x-beliebige Rechtsersuchen aus den Ländern, in denen Nutzer:innen von NordVPN leben und den Dienst nutzen. Da ist man in Panama wohl kaum zur Zusammenarbeit verdonnert - man setzt sie aber um. Und schreibt's deshalb fein säuberlich & vorsorglich in die Geschäftsbedingungen.

b) Geht es hier gerade *nicht* um richterliche Anordnungen (für die hätte man gar nicht erst irgendetwas reingeschrieben), sondern um *jegliche Rechtsstreitigkeiten, für die NordVPN Daten zur Verfügung stellen kann*.

Solche Abschnitte will ich bei Mullvad oder Perfect Privacy gerne mal sehen. ;-)

Wem es darum geht, hier und dort seine IP zu verschleiern, kann man natürlich auf deren super-super-nur-noch-heute-Sonderangebote zurückgreifen. In Sachen Sicherheit und Datenschutz ist Tesonet (huch, Litauen?) aus so vielen Gründen schon seit Jahren ein verbrannter Name.

Ich bin seit sehr vielen Jahren, fast von Anbeginn an, Kunde von Mullvad. Dort findet sich dann so etwas hier:

"In situations where we receive communication from the Swedish or foreign authorities requesting disclosure of information, we will never disclose any information before we have investigated the request. The requesting party shall state the legal grounds (applicable to Mullvad VPN) for such disclosure. After we have received the request an investigation must take place into whether there are adequate grounds for the reasons stated (a foreign authority has generally no jurisdiction here and cannot access any information without, for example, the support of international agreements on mutual assistance, a Swedish court order or an European investigation order etc.)."

Auch hier wird logischerweise nicht nur auf Schweden, dem Land, in dem Mullvad sitzt, eingeschränkt. Schließlich kommt bei Schweden ja noch sehr erschwerend hinzu, dass sie EU Mitglied sind. Und richtig, internationale Rechtshilfeabkommen spielen ebenfalls eine Rolle. In der Praxis bedeutet das, dass eine Vielzahl von nationalen sprich schwedischen als auch internationalen Behörden sehr wohl berechtigterweise Daten von Mullvad anfordern können.

Aber weder beim Mullvad noch bei NordVPN ist dies irgendein Problem, sofern der Betreiber das einhält was er verspricht, nämlich keine dem User zuordbaren Logs führt. Wobei letztlich eigentlich nur wichtig ist, dass keine Zuordnung zu der echten IP und der zugeteilten IP und natürlich dem User vollzogen wird. Und genau das versprechen Mullvad, NordVPN und viele andere Betreiber. Ob sie das auch wirklich einhalten, das muss man einfach glauben. Wobei einige Betreiber zu mindestens eingeschränkte Audits vorzuweisen haben. Mullvad ist ein so Betreiber.

Benutzer consecuencia schrieb:

Sollen Sie das gerne probieren, dass sie es schaffen alle 3 zufälligen Nodes von einem Nutzer gleichzeitig zu betreiben. Das ist mathematisch aufgrund der Anzahl der verfügbaren Nodes weltweit unmöglich und selbst wenn Sie das schaffen sollten können diese https und co immer noch nicht entschlüsseln. Dazu kommt noch, dass der Client alle Nodes ständig durchwechselt, bei jedem Websiteaufruf sowie bei der gleichen Website auch nach ein paar Minuten. Und nein, die SSL Spoofing Attacken durch redirects auf http an Exit Nodes gehen nur bei schlecht konfigurierten Seiten die kein HSTS nutzen und das ist eher selten der Fall. Und Onion Services mit ganzen 6 Nodes sind erst recht nicht knackbar.

Benutzer consecuencia schrieb:

Ich wüsste nicht, wie Android unverschlüsselte Verbindungen zuverlässig erkennen könnte. Ein System kann Ports erkennen, die typischerweise für unverschlüsselte Kommunikation genutzt werden, wie Port 80 für HTTP. Zuverlässig ist das aber nicht. Selbst wenn, sieht ein Abhörender immer noch im Klartext, welche Seiten/Server aufgerufen wurden, sofern kein DNS over TLS eingestellt wurde.

Und wer den Schutz seiner Daten in die Hände von Google legt - dann kann ich sie auch gleich veröffentlichen und per CC an die NSA senden.

Es geht darum, dass soweit ich weiß keine Apps in den PlayStore gelassen werden welche keine TLS Verschlüsselung zur Kommunikation nutzen.
Damit ist zumindest der Datentraffic ansich ja problemlos geschützt.