Mi az a naplózásmentes (no-logs) VPN? Auditált szolgáltatók, független jelentések, és hogyan különböztetheted meg a valós állítást a marketingtől
A naplózásmentes VPN olyan szolgáltató, amely nem rögzít forgalmat, DNS-t vagy olyan kapcsolati metaadatokat, amelyek azonosíthatnák a felhasználót. Az állítás csak akkor számít, ha egy független auditor megvizsgálta a tényleges infrastruktúrát. Íme, hogyan ismerheted fel.
Mit jelent valójában a "naplózásmentes"
A naplózásmentes VPN olyan szolgáltató, amely vállalja, hogy nem rögzít olyan forgalmat, DNS-lekérdezéseket, IP-címeket vagy kapcsolati időbélyegeket, amelyek egy egyéni felhasználóhoz köthetők. Maga a „no-logs” szó nem rendelkezik jogi meghatározással. Minden VPN-honlap használja. Az állítás csak akkor válik értelmessé, ha egy független auditor megvizsgálta a tényleges szerverflottát és a konfigurációt — és a jelentést közzétették. 2026-tól kezdődően mind az öt általunk ismertetett nagyobb fizetős VPN (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) közzétett független auditokat.
Mit fednek le valójában a közzétett auditok
A Mullvad legutóbbi auditját a Cure53 végezte, 2024. június 3. és 14. között (összességében a negyedik audit, a második a Cure53-mal). Ez egy infrastruktúra-audit, amely a Mullvad éles flottájának egy OpenVPN- és egy WireGuard-szerverét fedi le. A Proton VPN négy egymást követő Securitum naplózásmentes auditon ment át (2022, 2023, 2024, 2025). A NordVPN hat független naplózásmentes biztosítási értékelésen ment át az ISAE 3000 szerint: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Az ExpressVPN Trust Centere 23 közzétett auditot sorol fel, legutóbb egy harmadik KPMG naplózásmentes auditot (2025) és a Lightway protokoll Rust-átírásának Cure53/Praetorian auditjait (2024. szept.–okt.). A Surfsharknak Deloitte naplózásmentes auditjai vannak 2023-ban és 2025-ben az ISAE 3000 szerint.
Hogyan néz ki egy valós naplózásmentes állítás
Három jel választja el a valós naplózásmentes állítást a marketingtől. Először is egy közzétett, harmadik féltől származó jelentés — nem egy sajtóközlemény jellegű blogbejegyzés, hanem egy letölthető PDF vagy egy trust-center oldal az auditor nevével és dátumával. Másodszor, az audit hatóköre, amely magában foglalja az infrastruktúrát (szerverszintű konfiguráció), nem csak a kliensalkalmazást. Harmadszor, ideális esetben egy valós bírósági végzéssel végzett teszt. A Mullvad irodáit a svéd rendőrség 2023. április 18-án átkutatta egy német jogi együttműködési kérelemből kibocsátott parancs alapján; a Mullvad nyilvánosan dokumentálta az eseményt, és a rendőrség ügyféladatok lefoglalása nélkül távozott, mert a parancs által keresett adatok nem léteztek a szervereken (a Mullvad házkutatási parancsról szóló blogbejegyzése szerint). A PureVPN ezzel szemben 2017-ben kapcsolati naplókat szolgáltatott az FBI-nak a Ryan Lin-féle cyberstalking-ügyben, korábbi „naplózásmentes” marketingje ellenére — ez az ügy a marketingállítás valós jogi kényszerrel való ellentmondásának kanonikus fordított példája.
A joghatóság kevésbé számít, mint az, hogy mit tárol a szolgáltató
A VPN-marketing sokat foglalkozik a joghatósággal. Az 5 / 9 / 14 Eyes hírszerzési megosztási megállapodások (USA, Egyesült Királyság, Kanada, Ausztrália, Új-Zéland + Dánia, Franciaország, Hollandia, Norvégia + Németország, Belgium, Olaszország, Svédország, Spanyolország) valósak, és egy Svédországban vagy Hollandiában bejegyzett VPN ezek hatálya alá tartozik. De egy nem-Eyes joghatóságban működő szolgáltató, amely kapcsolati naplókat tárol, rosszabb, mint egy naplózásmentes szolgáltató bárhol. A Mullvad (Svédország, a 14 Eyes-ban) és a Proton VPN (Svájc, az Eyes-on kívül) egyaránt auditált; a Mullvad-házkutatás bizonyítja, hogy egy naplózásmentes konfiguráció többet számít, mint egy zászló a térképen.
Hogyan olvass el egy auditjelentést
Nyisd meg a jelentést, és keress három dolgot. (1) Hatókör — leírja-e a jelentés, hogy mit vizsgált az auditor, beleértve azt, hogy mely szervereket, mely protokollokat, mely dátumtartományt? Az általános „auditálta a szabályzatot” megfogalmazás konkrétumok nélkül gyengébb, mint az „megvizsgálta a VPN-konfigurációs fájlokat és a szerverkonfigurációkat”. (2) Módszer — a Securitum Protonnak szóló jelentései helyszíni konfigurációs felülvizsgálatot és személyzeti interjúkat írnak le; a Deloitte NordVPN-jelentései az ISAE 3000-re (a nemzetközi biztosítási megbízási szabványra) hivatkoznak; a Cure53 Mullvad-jelentései white-box biztonsági tesztelést írnak le az éles szervereken. (3) Megállapítások — minden audit talál valamit. A Cure53 2024. júniusi Mullvad-auditja két problémát talált (egy alacsony, egy közepes); a Praetorian 2024-es Lightway-auditja két alacsony kockázatú problémát talált. A megállapítások jelenléte nem rossz — bármilyen megállapítás hiánya gyanús lenne. Ami számít, az a súlyosság és a hibajavítás.
Mit hagyj figyelmen kívül
Hagyd figyelmen kívül az általános „legbiztonságosabb VPN” ranglistákat, amelyek nem fedik fel a módszertanukat. Hagyd figyelmen kívül azokat a szolgáltatókat, amelyek „auditja” egy levél egy kis tanácsadó cégtől, amely soha nem nézte meg a szervereket. Hagyd figyelmen kívül azokat a VPN-összehasonlító oldalakat, amelyek nem hivatkoznak a tényleges jelentésre — a jelentésnek van dátuma és közzétevő fele; ha egy oldal nem hivatkozik rá, az állítás ellenőrizhetetlen. Hagyd figyelmen kívül a joghatóságot mint elsődleges jelet. Az egyetlen megbízható jel a közzétett audit hatóköre, plusz — ahol létezik — a jogi kényszerre vonatkozó ügytörténet.
Források
Mullvad-audit: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad 2023-as házkutatás: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton-auditok: protonvpn.com/blog/no-logs-audit. NordVPN-auditok: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark-audit: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin-ügy: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Minden URL elérve 2026-04-30-án.