بازگشت به وبلاگ
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

چگونه مطمئن شویم که پروکسی داده‌ها را ثبت نمی‌کند: ۷ روش برای بررسی ارائه‌دهنده

بیاموزید چگونه می‌توان پروکسی‌ ارائه‌دهنده را از نظر ثبت داده‌ها بررسی کرد: تحلیل سیاست‌های حریم خصوصی، آزمایش‌های فنی، بررسی صلاحیت قضایی و سایر روش‌های حفاظت.

📅۱ اسفند ۱۴۰۴
```html

هنگامی که با ده‌ها حساب تبلیغاتی Facebook Ads کار می‌کنید، پروفایل‌های مشتریان را در Instagram مدیریت می‌کنید یا قیمت‌های رقبای خود را در بازارهای آنلاین بررسی می‌کنید — سوال حریم خصوصی به یک مسئله حیاتی تبدیل می‌شود. ارائه‌دهنده پروکسی تمام ترافیک شما را می‌بیند: کدام وب‌سایت‌ها را بازدید می‌کنید، چه داده‌هایی را وارد می‌کنید و از کدام حساب‌ها استفاده می‌کنید. اگر ارائه‌دهنده این اطلاعات را ثبت کند — داده‌های شما ممکن است به اشخاص ثالث، رقبای شما یا مقامات قانونی برسد.

در این راهنما، 7 روش عملی برای بررسی ارائه‌دهنده پروکسی در مورد ثبت داده‌ها را بررسی خواهیم کرد — از تحلیل اسناد تا آزمایش‌های فنی. این روش‌ها برای آربیتراژکاران، متخصصان SMM، فروشندگان بازارهای آنلاین و همه کسانی که به حریم خصوصی اهمیت می‌دهند مناسب است.

چرا ثبت داده‌ها برای کسب‌وکار شما خطرناک است

قبل از اینکه به روش‌های بررسی بپردازیم، مهم است که بفهمیم ثبت داده‌ها توسط ارائه‌دهنده پروکسی چه خطراتی به همراه دارد. این یک تهدید انتزاعی نیست — این سناریوهای واقعی هستند که می‌توانند کسب‌وکار شما را به خطر بیندازند.

چه چیزی ممکن است توسط ارائه‌دهنده ثبت شود

هنگامی که تمام ترافیک شما از طریق سرور پروکسی عبور می‌کند، ارائه‌دهنده به طور فنی به موارد زیر دسترسی دارد:

  • وب‌سایت‌ها و URL‌های بازدید شده — کدام پلتفرم‌ها را استفاده می‌کنید (Facebook Ads، Instagram، Wildberries)
  • زمان‌های ثبت شده — چه زمانی و چه مدت با هر حساب کار کرده‌اید
  • حجم داده‌های منتقل شده — هر آدرس IP چه مقدار ترافیک مصرف کرده است
  • داده‌های غیر رمزگذاری شده — اگر از HTTP به جای HTTPS استفاده کنید، ارائه‌دهنده تمام محتوای درخواست‌ها را می‌بیند
  • متاداده‌های حساب‌ها — ارتباط بین IP‌های مختلف و حساب‌های شما
  • داده‌های احراز هویت — نام‌های کاربری، رمزهای عبور، توکن‌ها در هنگام استفاده از پروکسی HTTP بدون رمزگذاری

خطرات واقعی برای دسته‌های مختلف کاربران

برای آربیتراژکاران:

  • افشای ارتباط بین حساب‌های تبلیغاتی → مسدود شدن زنجیره‌ای در Facebook Ads
  • نشت خلاقیت‌ها و ترکیب‌ها به رقبا
  • انتقال داده‌ها به پلتفرم‌های تبلیغاتی به درخواست
  • مسدود شدن تمام حساب‌ها اگر پلتفرم از ارائه‌دهنده لاگ‌ها دریافت کند

برای متخصصان SMM:

  • از دست دادن حساب‌های مشتریان Instagram/TikTok به دلیل افشای چندحسابی
  • نشت استراتژی‌های محتوایی و زمان‌بندی‌های پست
  • دسترسی اشخاص ثالث به مکالمات با مشتریان
  • ریسک‌های شهرتی در صورت نشت داده‌های مشتریان

برای فروشندگان بازارهای آنلاین:

  • افشای استراتژی قیمت‌گذاری و نظارت بر رقبا
  • انتقال داده‌های مربوط به پارسینگ به خود بازارها (Wildberries، Ozon)
  • نشت اطلاعات درباره تأمین‌کنندگان و محصولات
  • مسدود شدن حساب‌های فروشنده در صورت انتقال لاگ‌ها به پلتفرم

خطرناک‌ترین سناریو — زمانی است که ارائه‌دهنده با پلتفرم‌ها (Facebook، Google، Instagram) همکاری می‌کند و به آن‌ها لاگ‌ها را به درخواست ارائه می‌دهد. در این صورت، پلتفرم تصویر کاملی از چندحسابی شما به دست می‌آورد و می‌تواند تمام حساب‌های مرتبط را به طور همزمان مسدود کند.

تحلیل سیاست حریم خصوصی ارائه‌دهنده

اولین و ساده‌ترین روش بررسی — به دقت سیاست حریم خصوصی (Privacy Policy) را در وب‌سایت ارائه‌دهنده مطالعه کنید. شرکت‌های جدی به وضوح بیان می‌کنند که چه چیزی را ثبت می‌کنند و چه چیزی را ثبت نمی‌کنند.

چه چیزی را در سیاست حریم خصوصی جستجو کنیم

سیاست حریم خصوصی ارائه‌دهنده را باز کنید و بخش‌های مربوط به ثبت داده‌ها را پیدا کنید. به عبارات زیر توجه کنید:

عبارت این به چه معناست ارزیابی
"سیاست بدون ثبت" یا "Zero-logs" ارائه‌دهنده اعلام می‌کند که هیچ لاگی از فعالیت‌های کاربران ذخیره نمی‌کند ✓ خوب
"ما لاگ‌های اتصال را برای 24-48 ساعت جمع‌آوری می‌کنیم" لاگ‌های اتصال (IP، زمان) را به صورت موقت برای اهداف فنی ذخیره می‌کنند ~ قابل قبول
"ما تمام ترافیک را برای کنترل کیفیت ثبت می‌کنیم" تمام ترافیک را برای "کنترل کیفیت" ثبت می‌کنند — خطرناک ✗ بد
"ما ممکن است داده‌ها را با مقامات قانونی به اشتراک بگذاریم" داده‌ها را به درخواست مقامات منتقل می‌کنند — یعنی لاگ‌ها را ذخیره می‌کنند ✗ بد
"ما فعالیت مرور شما را زیر نظر نداریم" آن‌ها پیگیری نمی‌کنند که کدام وب‌سایت‌ها را بازدید می‌کنید ✓ خوب
هیچ سیاست حریم خصوصی وجود ندارد پرچم قرمز بحرانی — از چنین ارائه‌دهنده‌ای اجتناب کنید ✗✗ خطرناک

سوالات کلیدی درباره سیاست حریم خصوصی

هنگام تحلیل این سند، این سوالات را از خود بپرسید:

  1. آیا بیانیه واضحی درباره no-logs وجود دارد؟ اگر ارائه‌دهنده لاگ‌ها را ذخیره نمی‌کند — این را به وضوح بیان می‌کند، این یک مزیت رقابتی است.
  2. آن‌ها چه چیزی را برای "اهداف فنی" ثبت می‌کنند؟ تفاوت بین ثبت زمان اتصال و تمام ترافیک — بسیار زیاد است.
  3. لاگ‌ها به چه مدت ذخیره می‌شوند؟ 24 ساعت — قابل قبول است، 30 روز — خطرناک است، "به‌طور نامحدود" — از آن اجتناب کنید.
  4. با چه کسانی داده‌ها به اشتراک گذاشته می‌شود؟ اگر عبارتی مانند "شرکای ثالث" وجود دارد بدون توضیح اینکه چه کسانی هستند — پرچم قرمز است.
  5. آیا اشاره‌ای به warrant canary وجود دارد؟ این یک نشانه است که ارائه‌دهنده به حریم خصوصی اهمیت می‌دهد (در زیر توضیح می‌دهم).

💡 نکته عملی: از جستجوی صفحه (Ctrl+F) استفاده کنید و کلمات: "log"، "store"، "retain"، "collect"، "share"، "third party" را جستجو کنید. این به سرعت تمام اشاره‌ها به ثبت داده‌ها را در سند نشان می‌دهد.

مثال سیاست خوب و بد

✓ مثال یک عبارت خوب:

"ما یک سیاست سختگیرانه بدون ثبت داریم. ما هیچ اطلاعاتی درباره وب‌سایت‌هایی که بازدید می‌کنید، جستجوهای شما یا محتوای داده‌ها ذخیره نمی‌کنیم. ما فقط حداقل متاداده‌های اتصال (زمان و پهنای باند مصرفی) را برای 24 ساعت برای عیب‌یابی فنی نگه می‌داریم که نمی‌تواند فعالیت آنلاین شما را شناسایی کند."

✗ مثال یک عبارت بد:

"ما ممکن است اطلاعاتی درباره استفاده شما از خدمات خود جمع‌آوری و ذخیره کنیم، از جمله اما نه محدود به تاریخچه مرور، زمان‌های اتصال و منابع دسترسی شده. این داده‌ها ممکن است برای اهداف تجاری با اشخاص ثالث به اشتراک گذاشته شود یا به درخواست مقامات قانونی ارائه شود."

اگر سیاست حریم خصوصی به صورت مبهم نوشته شده باشد، با بسیاری از قیدهای "ممکن است"، "شاید"، "در موارد خاص" — این نشانه‌ای است که ارائه‌دهنده به خود اجازه می‌دهد هر چیزی را ثبت کند. ارائه‌دهندگان مطمئن به وضوح و به طور خاص بیان می‌کنند.

بررسی حوزه قضایی و قوانین

حتی اگر ارائه‌دهنده از سیاست بدون ثبت داده‌ها خبر دهد، قوانین کشور ثبت‌نام ممکن است او را ملزم به ذخیره داده‌ها کند. این دومین عامل بحرانی در بررسی است.

حوزه‌های خطرناک برای حریم خصوصی

اتحادیه‌های بین‌المللی سازمان‌های اطلاعاتی وجود دارند که شرکت‌ها را ملزم به ذخیره داده‌های کاربران و انتقال آن‌ها به درخواست می‌کنند:

اتحادیه کشورها خطرات
5 Eyes آمریکا، بریتانیا، کانادا، استرالیا، نیوزیلند بیشترین تبادل داده‌ها بین سازمان‌های اطلاعاتی
9 Eyes 5 Eyes + دانمارک، فرانسه، هلند، نروژ سطح بالای نظارت
14 Eyes 9 Eyes + آلمان، بلژیک، ایتالیا، اسپانیا، سوئد خطر متوسط
روسیه قانون ذخیره‌سازی داده‌ها (یاروا) ذخیره‌سازی اجباری لاگ‌ها به مدت 6-12 ماه
چین قانون امنیت سایبری کنترل کامل دولت بر داده‌ها

چگونه حوزه قضایی ارائه‌دهنده را بررسی کنیم

مراحل زیر را دنبال کنید:

  1. بخش "درباره ما" یا "تماس" را در وب‌سایت ارائه‌دهنده پیدا کنید — معمولاً آدرس قانونی شرکت در آنجا ذکر شده است.
  2. WHOIS دامنه را بررسی کنید — از خدماتی مانند whois.com استفاده کنید تا بدانید دامنه و شرکت کجا ثبت شده‌اند.
  3. شرایط خدمات را مطالعه کنید — در آنجا باید حوزه قضایی برای حل و فصل اختلافات ذکر شده باشد.
  4. اطلاعات پرداخت را بررسی کنید — کشور حساب بانکی یا پردازشگر پرداخت، مکان واقعی را مشخص می‌کند.

⚠️ مهم: برخی از ارائه‌دهندگان شرکت را در یک حوزه قضایی "ایمن" (مانند پاناما، سیشل) ثبت می‌کنند، اما سرورها به‌طور فیزیکی در ایالات متحده یا اتحادیه اروپا قرار دارند. در این صورت، داده‌ها همچنان تحت قوانین محلی قرار می‌گیرند. از پشتیبانی بپرسید که سرورها کجا قرار دارند.

حوزه‌های امن برای پروکسی

کشورهایی با حفاظت قوی از حریم خصوصی و عدم ثبت اجباری داده‌ها:

  • سوئیس — قوانین سختگیرانه درباره حفاظت از داده‌ها، در اتحادیه‌های نظارتی نیست
  • پاناما — هیچ قانونی درباره ذخیره‌سازی اجباری داده‌ها وجود ندارد
  • جزایر ویرجین بریتانیا (BVI) — حوزه محبوب برای VPN و پروکسی
  • سیشل — هیچ توافقی درباره انتقال داده‌ها با کشورهای دیگر وجود ندارد
  • رومانی — در اتحادیه اروپا است، اما هیچ قانونی درباره ثبت اجباری داده‌ها وجود ندارد

اگر ارائه‌دهنده پروکسی‌های مسکونی در یکی از این کشورها ثبت شده باشد — این نشانه خوبی است، اما تضمینی نیست. همچنان سایر موارد این راهنما را بررسی کنید.

آزمایش‌های فنی برای نشت داده‌ها

علاوه بر تحلیل اسناد، می‌توان آزمایش‌های عملی انجام داد که نشان می‌دهد پروکسی چقدر حریم خصوصی شما را محافظت می‌کند. این روش‌ها به دانش فنی نیاز ندارند — فقط یک مرورگر و 15-20 دقیقه زمان نیاز است.

آزمایش 1: بررسی نشت DNS

درخواست‌های DNS نشان می‌دهد که کدام وب‌سایت‌ها را بازدید می‌کنید. اگر پروکسی DNS را محافظت نکند — ارائه‌دهنده (یا ارائه‌دهنده اینترنت شما) تمام درخواست‌های شما را حتی از طریق پروکسی می‌بیند.

چگونه بررسی کنیم:

  1. به پروکسی از طریق مرورگر ضد شناسایی (Dolphin Anty، AdsPower یا GoLogin) متصل شوید
  2. وب‌سایت dnsleaktest.com را باز کنید
  3. بر روی "آزمایش گسترده" (Extended test) کلیک کنید
  4. منتظر نتایج بمانید

چه چیزی باید در نتایج باشد:

  • ✓ تمام سرورهای DNS متعلق به ارائه‌دهنده پروکسی یا خدمات ناشناس هستند
  • ✓ کشور سرورهای DNS با کشور پروکسی مطابقت دارد
  • ✗ اگر DNS ارائه‌دهنده اینترنت شما قابل مشاهده است — نشت وجود دارد، پروکسی DNS را محافظت نمی‌کند

آزمایش 2: بررسی نشت WebRTC

WebRTC — تکنولوژی برای تماس‌های ویدیویی در مرورگر. این می‌تواند آدرس IP واقعی شما را حتی در هنگام استفاده از پروکسی افشا کند.

چگونه بررسی کنیم:

  1. به پروکسی متصل شوید
  2. وب‌سایت browserleaks.com/webrtc را باز کنید
  3. بخش "آدرس IP عمومی" را بررسی کنید

چه چیزی باید باشد:

  • ✓ فقط IP پروکسی نمایش داده می‌شود
  • ✗ اگر آدرس IP واقعی شما در بخش "IP محلی" یا "IP عمومی" قابل مشاهده است — نشت وجود دارد

💡 راه حل: اگر نشت WebRTC را شناسایی کردید — WebRTC را در تنظیمات مرورگر ضد شناسایی خاموش کنید. در Dolphin Anty و AdsPower این کار در تنظیمات پروفایل → Advanced → WebRTC → Disabled یا Altered انجام می‌شود.

آزمایش 3: بررسی هدرهای HTTP

برخی پروکسی‌ها هدرهایی را به درخواست‌های HTTP اضافه می‌کنند که نشان می‌دهد شما از پروکسی استفاده می‌کنید، یا حتی آدرس IP واقعی شما را منتقل می‌کنند.

چگونه بررسی کنیم:

  1. به پروکسی متصل شوید
  2. وب‌سایت whoer.net یا browserleaks.com/ip را باز کنید
  3. بخش "HTTP headers" یا "Request headers" را بررسی کنید

هدرهای خطرناک (نباید وجود داشته باشند):

  • X-Forwarded-For — ممکن است آدرس IP واقعی شما را شامل شود
  • Via — نشان می‌دهد که درخواست از طریق پروکسی می‌رود
  • X-Real-IP — ممکن است آدرس IP واقعی را افشا کند
  • Forwarded — نسخه مدرن X-Forwarded-For

اگر این هدرها وجود داشته باشند — پروکسی به درستی تنظیم نشده است یا ارائه‌دهنده عمداً اطلاعاتی درباره استفاده از پروکسی را منتقل می‌کند. پروکسی‌های با کیفیت موبایل و پروکسی‌های مسکونی نباید چنین هدرهایی را اضافه کنند.

آزمایش 4: بررسی سازگاری جغرافیایی

این آزمایش نشان می‌دهد که پروکسی چقدر "پاک" IP را ارائه می‌دهد — آیا داده‌های جغرافیایی از منابع مختلف مطابقت دارند یا خیر.

چگونه بررسی کنیم:

  1. به پروکسی متصل شوید
  2. چندین سرویس بررسی IP را باز کنید: whoer.net، 2ip.ru، ipleak.net
  3. داده‌ها را مقایسه کنید: کشور، شهر، ارائه‌دهنده، منطقه زمانی

چه چیزی باید باشد:

  • ✓ تمام سرویس‌ها کشور و شهر یکسانی را نشان می‌دهند
  • ✓ منطقه زمانی مرورگر با جغرافیای IP مطابقت دارد
  • ✓ ارائه‌دهنده اینترنت به عنوان یک ISP عادی به نظر می‌رسد، نه یک مرکز داده
  • ✗ اگر داده‌ها با یکدیگر تناقض دارند — IP "کثیف" است یا پروکسی به درستی تنظیم نشده است

تحلیل روش‌های پرداخت و ثبت‌نام

روش‌های پرداخت و الزامات هنگام ثبت‌نام نشان‌دهنده این است که ارائه‌دهنده چقدر به حریم خصوصی کاربران اهمیت می‌دهد.

روش‌های پرداخت ناشناس

ارائه‌دهندگانی که واقعاً به حریم خصوصی اهمیت می‌دهند، روش‌های پرداخت ناشناس را ارائه می‌دهند:

روش پرداخت سطح ناشناسی توضیحات
رمز ارز (Bitcoin، Monero) بالا حداکثر ناشناسی، به ویژه Monero
کارت‌های پیش‌پرداخت متوسط-بالا خوب است اگر نیاز به تأیید نداشته باشند
PayPal متوسط ناشناسی جزئی از طرف ارائه‌دهنده
کارت‌های بانکی پایین ارائه‌دهنده هویت شما را می‌داند
انتقال بانکی پایین افشای کامل هویت

اگر ارائه‌دهنده فقط کارت‌های بانکی و انتقال‌ها را قبول کند — این نشانه‌ای است که آن‌ها مشکلی با دانستن اینکه شما چه کسی هستید ندارند. وجود رمز ارز در لیست روش‌های پرداخت — نشانه خوبی است (هرچند که تضمینی برای عدم ثبت داده‌ها نیست).

الزامات هنگام ثبت‌نام

به الزامات ارائه‌دهنده هنگام ایجاد حساب توجه کنید:

  • فقط ایمیل — حداقل الزامات، می‌توانید از ایمیل موقتی استفاده کنید
  • ~ ایمیل + شماره تلفن — قابل قبول است اگر نیاز به تأیید مدارک نداشته باشند
  • تأیید هویت (KYC) — پاسپورت، سلفی با مدارک — ارائه‌دهنده دقیقاً می‌داند شما چه کسی هستید
  • پیوند به شبکه‌های اجتماعی — روش اضافی برای شناسایی

⚠️ پارادوکس KYC: برخی از ارائه‌دهندگان تأیید هویت را "برای مبارزه با تقلب" درخواست می‌کنند، اما در عین حال از سیاست بدون ثبت داده‌ها خبر می‌دهند. این تناقض — اگر آن‌ها مدارک شما را ذخیره کنند، به طور فنی می‌توانند فعالیت شما را با هویت شما مرتبط کنند حتی بدون ثبت ترافیک.

تحقیق درباره شهرت و نظرات

شهرت ارائه‌دهنده در جامعه حرفه‌ای — یکی از مطمئن‌ترین شاخص‌ها است. افرادی که به دلیل نشت داده‌ها حساب‌های خود را از دست داده‌اند، حتماً درباره آن خواهند نوشت.

کجا نظرات واقعی را جستجو کنیم

به نظرات موجود در وب‌سایت خود ارائه‌دهنده یا در پلتفرم‌هایی مانند Trustpilot اعتماد نکنید (این‌ها به راحتی قابل دستکاری هستند). به دنبال بحث‌ها در جوامع حرفه‌ای باشید:

  • کانال‌های تلگرام آربیتراژکاران — در آنجا درباره اینکه کدام ارائه‌دهندگان داده‌های Facebook را "می‌فروشند" بحث می‌کنند
  • فروم‌های آربیتراژ ترافیک — به دنبال موضوعاتی درباره امنیت و حریم خصوصی باشید
  • Reddit — زیرمجموعه‌های r/privacy، r/VPN (اصول بررسی VPN به پروکسی‌ها نیز قابل اعمال است)
  • فروم‌های تخصصی — blackhatworld.com، bhw.com برای بحث درباره ابزارها
  • بررسی‌های YouTube — به دنبال بررسی‌های مستقل از عملی‌ها باشید، نه تبلیغات

به چه چیزی در نظرات توجه کنیم

به دنبال اشاره به حوادث خاص باشید:

  • "پس از استفاده از پروکسی [ارائه‌دهنده]، تمام حساب‌های Facebook من مسدود شد" — احتمال نشت ارتباط بین حساب‌ها وجود دارد
  • "ارائه‌دهنده لاگ‌ها را به درخواست دادگاه منتقل کرد" — تأیید اینکه لاگ‌ها ذخیره می‌شوند
  • "IP‌ها به سرعت در لیست سیاه قرار می‌گیرند" — نشانه‌ای که IP‌ها برای اسپم استفاده می‌شوند یا ارائه‌دهنده یک IP را به بسیاری می‌فروشد
  • "پشتیبانی جزئیات فعالیت من را درخواست کرد" — یعنی آن‌ها به لاگ‌ها دسترسی دارند

بررسی تاریخچه حوادث

در Google جستجو کنید:

  • "[نام ارائه‌دهنده]" + "نشت داده" — نشت‌های داده
  • "[نام ارائه‌دهنده]" + "ثبت" + "مدرک" — شواهد ثبت داده‌ها
  • "[نام ارائه‌دهنده]" + "حساب‌های مسدود شده" — ارتباط با مسدود شدن حساب‌ها
  • "[نام ارائه‌دهنده]" + "warrant canary" — آیا سیستم هشدار درباره درخواست‌های مقامات وجود دارد

اگر اخبار مربوط به نشت داده‌ها یا انتقال لاگ‌ها به مقامات را پیدا کنید — این یک پرچم قرمز بحرانی است. حتی یک چنین حادثه‌ای به این معناست که سیاست بدون ثبت در عمل کار نمی‌کند.

شاخص‌های شفافیت ارائه‌دهنده

ارائه‌دهندگانی که واقعاً داده‌ها را ثبت نمی‌کنند معمولاً در کار خود حداکثر شفافیت را دارند. در اینجا نشانه‌های باز بودن که باید به دنبال آن‌ها باشید:

Warrant Canary (کانارئیکا)

این یک بیانیه عمومی از طرف ارائه‌دهنده است که او هیچ درخواست‌هایی از مقامات قانونی دریافت نکرده است. به طور منظم (هر سه ماه یا سال) به‌روزرسانی می‌شود. اگر بیانیه به‌روزرسانی نشود — به این معنی است که ارائه‌دهنده درخواست دریافت کرده و به طور قانونی نمی‌تواند به‌طور مستقیم در مورد آن اطلاع دهد، اما می‌تواند "فراموش کند" که کانارئیکا را به‌روزرسانی کند.

مثال عبارتی Warrant Canary:

تا تاریخ 31 دسامبر 2024، [نام شرکت] هیچ‌کدام از موارد زیر را دریافت نکرده است:
- هیچ نامه امنیت ملی
- هیچ دستور عدم افشا
- هیچ حکمی از هیچ سازمان دولتی
- هیچ درخواستی برای ثبت داده‌های کاربران

وجود Warrant Canary — یک سیگنال مثبت بسیار قوی است. این نشان می‌دهد که ارائه‌دهنده آماده است تا به خطرات قانونی برود تا کاربران را هشدار دهد.

گزارش شفافیت (Transparency Report)

برخی از ارائه‌دهندگان گزارش‌های منظم درباره درخواست‌های داده از مقامات و شرکت‌ها منتشر می‌کنند. در گزارش ذکر می‌شود:

  • تعداد درخواست‌های دریافتی از مقامات قانونی
  • تعداد درخواست‌هایی که به آن‌ها پاسخ داده‌اند
  • تعداد درخواست‌هایی که رد کرده‌اند
  • نوع داده‌های درخواست شده
  • کشورهایی که درخواست‌ها از آن‌ها آمده‌اند

اگر ارائه‌دهنده گزارش شفافیت منتشر کند و در آن ذکر شده باشد "0 درخواست به دلیل عدم وجود داده‌ها انجام شده است" — این سیاست بدون ثبت را در عمل تأیید می‌کند.

حسابرسی امنیت مستقل

ارائه‌دهندگان برتر از شرکت‌های تخصصی (مانند PwC، Cure53، Deloitte) درخواست حسابرسی مستقل از زیرساخت‌های خود می‌کنند. حسابرسان بررسی می‌کنند:

  • آیا واقعاً در سرورها سیستم‌های ثبت وجود ندارد
  • آیا پیاده‌سازی فنی با سیاست اعلام شده مطابقت دارد
  • آیا آسیب‌پذیری‌هایی وجود دارد که ممکن است منجر به نشت داده‌ها شود

اگر ارائه‌دهنده حسابرسی مستقل را گذرانده و نتایج را منتشر کند — این بالاترین سطح اعتماد است. بررسی کنید:

  • چه کسی حسابرسی را انجام داده است (آیا این یک شرکت شناخته شده است)
  • کی انجام شده است (آیا گزارش تازه است یا 5 سال پیش)
  • آیا گزارش کامل منتشر شده یا فقط "خلاصه"

اجزای متن باز

برخی از ارائه‌دهندگان بخشی از کد خود را به صورت متن باز (برنامه‌های کلاینت، کتابخانه‌ها) می‌کنند. این به محققان مستقل اجازه می‌دهد تا عدم وجود ویژگی‌های پنهان ثبت را بررسی کنند. هرچند که بخش سرور همچنان بسته باقی می‌ماند، باز بودن کد کلاینت — نشانه مثبتی است.

پرچم‌های قرمز: زمانی که مطمئناً ثبت داده‌ها وجود دارد

شرایطی وجود دارد که می‌توان با اطمینان گفت که ارائه‌دهنده داده‌ها را ثبت می‌کند، حتی اگر او این را انکار کند. در اینجا لیستی از پرچم‌های قرمز بحرانی وجود دارد:

ارائه‌دهنده می‌تواند فعالیت شما را نشان دهد

اگر به پشتیبانی مراجعه کنید و اپراتور بگوید: "من می‌بینم که شما در ساعت 14:35 به وب‌سایت X وارد شده‌اید" یا "آدرس IP شما برای دسترسی به این منابع استفاده شده است" — این یک مدرک مستقیم از ثبت داده‌ها است. ارائه‌دهنده با سیاست واقعی بدون ثبت به طور فیزیکی نمی‌تواند بداند که شما چه کار می‌کنید.

پروکسی‌های رایگان

پروکسی‌های رایگان همیشه داده‌ها را ثبت می‌کنند — این مدل کسب‌وکار آن‌هاست. آن‌ها یا داده‌های شما را به تبلیغ‌کنندگان می‌فروشند یا برای اهداف دیگر استفاده می‌کنند. هرگز از پروکسی‌های رایگان برای کار با حساب‌های مهم استفاده نکنید.

قیمت‌های بسیار ارزان

اگر پروکسی‌های دیتاسنتر 5-10 برابر ارزان‌تر از قیمت‌های بازار هستند — از خود بپرسید که چگونه ارائه‌دهنده درآمد کسب می‌کند. ممکن است با فروش داده‌های شما یا استفاده از ترافیک شما برای حملات DDoS باشد.

درخواست نصب گواهی‌نامه

اگر ارائه‌دهنده از شما بخواهد که گواهی SSL ریشه را "برای عملکرد صحیح HTTPS" نصب کنید — این به او اجازه می‌دهد که تمام ترافیک HTTPS شما را رمزگشایی کند (حمله man-in-the-middle). ارائه‌دهندگان پروکسی قانونی هرگز از شما نمی‌خواهند که گواهی‌نامه‌ها را نصب کنید.

عدم وجود اسناد حریم خصوصی

عدم وجود سیاست حریم خصوصی، شرایط خدمات مبهم، عدم ذکر حوزه قضایی — به این معنی است که ارائه‌دهنده اطلاعات را پنهان می‌کند.

```