जब आप फेसबुक विज्ञापन के दर्जनों खातों के साथ काम कर रहे होते हैं, Instagram में ग्राहक प्रोफाइल का प्रबंधन कर रहे होते हैं या मार्केटप्लेस पर प्रतिस्पर्धियों की कीमतों को पार्स कर रहे होते हैं - गोपनीयता का प्रश्न महत्वपूर्ण हो जाता है। प्रॉक्सी प्रदाता आपके सभी ट्रैफ़िक को देखता है: आप कौन सी साइटों पर जाते हैं, आप कौन से डेटा दर्ज करते हैं, आप किन खातों के साथ काम करते हैं। यदि प्रदाता इस जानकारी को लॉग करता है (सहेजता है) - तो आपके डेटा तीसरे पक्ष, प्रतिस्पर्धियों या कानून प्रवर्तन एजेंसियों के पास जा सकते हैं।
इस मार्गदर्शिका में, हम प्रॉक्सी प्रदाता की डेटा लॉगिंग की जांच करने के 7 व्यावहारिक तरीकों पर चर्चा करेंगे - दस्तावेजों के विश्लेषण से लेकर तकनीकी परीक्षणों तक। ये विधियाँ आर्बिट्राजर्स, SMM विशेषज्ञों, मार्केटप्लेस विक्रेताओं और सभी के लिए उपयुक्त हैं जो गोपनीयता को महत्व देते हैं।
क्यों लॉगिंग आपके व्यवसाय के लिए खतरनाक है
जांच विधियों पर जाने से पहले, यह समझना महत्वपूर्ण है कि प्रॉक्सी प्रदाता द्वारा डेटा लॉगिंग से कौन से जोखिम उत्पन्न होते हैं। यह एक अमूर्त खतरा नहीं है - ये वास्तविक परिदृश्य हैं जो आपके व्यवसाय को प्रभावित कर सकते हैं।
प्रदाता क्या लॉग कर सकता है
जब आपका पूरा ट्रैफ़िक प्रॉक्सी सर्वर के माध्यम से गुजरता है, तो प्रदाता तकनीकी रूप से निम्नलिखित तक पहुँच रखता है:
- दर्शित वेबसाइटों और URL - आप कौन सी प्लेटफार्मों का उपयोग कर रहे हैं (फेसबुक विज्ञापन, Instagram, Wildberries)
- समय के निशान - आपने प्रत्येक खाते के साथ कब और कितना समय बिताया
- डेटा के हस्तांतरण की मात्रा - प्रत्येक IP पते द्वारा कितनी ट्रैफ़िक खपत की गई
- असुरक्षित डेटा - यदि आप HTTP का उपयोग करते हैं तो प्रदाता सभी अनुरोधों की सामग्री देखता है
- खातों के मेटाडेटा - विभिन्न IP और आपके खातों के बीच संबंध
- प्राधिकरण डेटा - लॉगिन, पासवर्ड, टोकन जब असुरक्षित HTTP प्रॉक्सी का उपयोग किया जाता है
विभिन्न उपयोगकर्ताओं के लिए वास्तविक जोखिम
आर्बिट्राजर्स के लिए:
- विज्ञापन खातों के बीच संबंध का खुलासा → फेसबुक विज्ञापनों में चेन-बैन
- प्रतिस्पर्धियों को क्रिएटिव और बंडल का लीक
- विज्ञापन प्लेटफार्मों को डेटा का हस्तांतरण अनुरोध पर
- यदि प्लेटफार्मा प्रदाता से लॉग प्राप्त करता है तो सभी खातों का ब्लॉक
SMM विशेषज्ञों के लिए:
- मल्टी-एकाउंटिंग के खुलासे के कारण Instagram/TikTok ग्राहक खातों का नुकसान
- सामग्री रणनीतियों और पोस्टिंग शेड्यूल का लीक
- ग्राहकों के साथ बातचीत में तीसरे पक्ष की पहुँच
- ग्राहकों के डेटा के लीक होने पर प्रतिष्ठा के जोखिम
मार्केटप्लेस विक्रेताओं के लिए:
- मूल्य निर्धारण रणनीति और प्रतिस्पर्धियों की निगरानी का खुलासा
- मार्केटप्लेस (Wildberries, Ozon) को पार्सिंग डेटा का हस्तांतरण
- आपूर्तिकर्ताओं और उत्पादों की जानकारी का लीक
- प्लेटफार्म को लॉग भेजने पर विक्रेता के खातों का ब्लॉक
सबसे खतरनाक परिदृश्य तब होता है जब प्रदाता प्लेटफार्मों (फेसबुक, गूगल, इंस्टाग्राम) के साथ सहयोग करता है और अनुरोध पर उन्हें लॉग भेजता है। इस स्थिति में, प्लेटफार्मा आपके मल्टी-एकाउंटिंग की पूरी तस्वीर प्राप्त करता है और सभी संबंधित खातों को एक साथ ब्लॉक कर सकता है।
प्रदाता की गोपनीयता नीति का विश्लेषण
जांच का पहला और सबसे सरल तरीका है प्रदाता की वेबसाइट पर गोपनीयता नीति (Privacy Policy) को ध्यान से पढ़ना। गंभीर कंपनियाँ स्पष्ट रूप से बताती हैं कि वे क्या लॉग करती हैं और क्या नहीं।
गोपनीयता नीति में क्या देखें
प्रदाता की गोपनीयता नीति खोलें और लॉगिंग के बारे में अनुभाग खोजें। निम्नलिखित वाक्यांशों पर ध्यान दें:
| वाक्यांश | इसका क्या मतलब है | मूल्यांकन |
|---|---|---|
| "No-logs policy" या "Zero-logs" | प्रदाता का कहना है कि वह उपयोगकर्ताओं की गतिविधियों के लॉग नहीं रखता | ✓ अच्छा |
| "We collect connection logs for 24-48 hours" | वे तकनीकी उद्देश्यों के लिए अस्थायी रूप से कनेक्शन लॉग (IP, समय) रखते हैं | ~ स्वीकार्य |
| "We log traffic for quality control" | वे "गुणवत्ता नियंत्रण" के लिए सभी ट्रैफ़िक को लॉग करते हैं - खतरनाक | ✗ खराब |
| "We may share data with law enforcement" | वे अधिकारियों के अनुरोध पर डेटा साझा करते हैं - इसका मतलब है कि वे लॉग रखते हैं | ✗ खराब |
| "We don't monitor your browsing activity" | वे यह ट्रैक नहीं करते कि आप कौन सी साइटों पर जाते हैं | ✓ अच्छा |
| गोपनीयता नीति बिल्कुल नहीं है | महत्वपूर्ण लाल झंडा - ऐसे प्रदाता से बचें | ✗✗ खतरनाक |
गोपनीयता नीति के लिए प्रमुख प्रश्न
दस्तावेज़ का विश्लेषण करते समय, अपने आप से ये प्रश्न पूछें:
- क्या कोई स्पष्ट no-logs का बयान है? यदि प्रदाता लॉग नहीं रखता है - तो वह इसे सीधे बताएगा, यह एक प्रतिस्पर्धात्मक लाभ है।
- वे "तकनीकी उद्देश्यों" के लिए क्या लॉग करते हैं? कनेक्शन समय और पूरे ट्रैफ़िक के लॉगिंग के बीच का अंतर विशाल है।
- लॉग कितने समय तक रखे जाते हैं? 24 घंटे - स्वीकार्य है, 30 दिन - पहले से ही खतरनाक है, "indefinitely" (अनिश्चित काल के लिए) - इससे बचें।
- वे डेटा किसके साथ साझा करते हैं? यदि "third-party partners" का वाक्यांश है बिना यह बताए कि वे कौन हैं - लाल झंडा।
- क्या वारंट कैनरी का उल्लेख है? यह संकेत है कि प्रदाता गोपनीयता को गंभीरता से लेता है (नीचे समझाऊंगा)।
💡 व्यावहारिक सलाह: पृष्ठ पर खोज का उपयोग करें (Ctrl+F) और शब्द खोजें: "log", "store", "retain", "collect", "share", "third party"। यह दस्तावेज़ में लॉगिंग के सभी उल्लेखों को तेजी से दिखाएगा।
अच्छी और खराब नीति का उदाहरण
✓ अच्छी वाक्यांश का उदाहरण:
"हम एक सख्त no-logs नीति का पालन करते हैं। हम आपकी देखी गई वेबसाइटों, आपके खोज प्रश्नों या डेटा सामग्री के बारे में कोई जानकारी संग्रहीत नहीं करते हैं। हम केवल तकनीकी समस्या निवारण के लिए 24 घंटों के लिए न्यूनतम कनेक्शन मेटाडेटा (समय और बैंडविड्थ का उपयोग) रखते हैं, जो आपकी ऑनलाइन गतिविधि की पहचान नहीं कर सकता।"
✗ खराब वाक्यांश का उदाहरण:
"हम आपकी सेवाओं के उपयोग के बारे में जानकारी एकत्रित और संग्रहीत कर सकते हैं जिसमें लेकिन सीमित नहीं है ब्राउज़िंग इतिहास, कनेक्शन समय, और पहुंची गई संसाधन। यह डेटा व्यावसायिक उद्देश्यों के लिए तीसरे पक्ष के साथ साझा किया जा सकता है या अनुरोध पर कानून प्रवर्तन को प्रदान किया जा सकता है।"
यदि गोपनीयता नीति अस्पष्ट रूप से लिखी गई है, जिसमें "may", "might", "in certain cases" जैसे कई शर्तें हैं - तो यह संकेत है कि प्रदाता किसी भी चीज़ को लॉग करने की संभावना छोड़ता है। विश्वसनीय प्रदाता स्पष्ट और विशिष्ट रूप से लिखते हैं।
अधिकार क्षेत्र और कानूनों की जांच
भले ही प्रदाता no-logs नीति का दावा करता हो, लेकिन पंजीकरण देश का कानून उसे डेटा संग्रहीत करने के लिए बाध्य कर सकता है। यह जांच का दूसरा महत्वपूर्ण कारक है।
गोपनीयता के लिए खतरनाक अधिकार क्षेत्र
अंतरराष्ट्रीय खुफिया एजेंसियों के गठबंधन हैं जो कंपनियों को उपयोगकर्ताओं के डेटा को संग्रहीत करने और अनुरोध पर उन्हें साझा करने के लिए बाध्य करते हैं:
| गठबंधन | देश | जोखिम |
|---|---|---|
| 5 Eyes | यूएसए, यूके, कनाडा, ऑस्ट्रेलिया, न्यूजीलैंड | विशेष सेवाओं के बीच अधिकतम डेटा साझा करना |
| 9 Eyes | 5 Eyes + डेनमार्क, फ्रांस, नीदरलैंड, नॉर्वे | उच्च निगरानी स्तर |
| 14 Eyes | 9 Eyes + जर्मनी, बेल्जियम, इटली, स्पेन, स्वीडन | मध्यम जोखिम |
| रूस | डेटा स्टोरेज कानून (यरोवाया) | 6-12 महीनों के लिए लॉग का अनिवार्य संग्रह |
| चीन | साइबर सुरक्षा कानून | राज्य का पूर्ण नियंत्रण डेटा पर |
प्रदाता के अधिकार क्षेत्र की जांच कैसे करें
निम्नलिखित चरणों का पालन करें:
- प्रदाता की वेबसाइट पर "About Us" या "Contact" अनुभाग खोजें - वहाँ आमतौर पर कंपनी का कानूनी पता दिया जाता है।
- डोमेन की WHOIS जांच करें - यह जानने के लिए whois.com जैसे सेवाओं का उपयोग करें कि डोमेन और कंपनी कहाँ पंजीकृत है।
- Terms of Service का अध्ययन करें - वहाँ विवादों के समाधान के लिए अधिकार क्षेत्र का उल्लेख किया गया होता है।
- भुगतान विवरण की जांच करें - बैंक खाते या भुगतान प्रोसेसर का देश वास्तविक स्थान को दर्शाएगा।
⚠️ महत्वपूर्ण: कुछ प्रदाता "सुरक्षित" अधिकार क्षेत्र (जैसे, पनामा, सेशेल्स) में कंपनी पंजीकृत करते हैं, लेकिन भौतिक रूप से सर्वर अमेरिका या यूरोपीय संघ में होते हैं। इस स्थिति में, डेटा फिर भी स्थानीय कानून के अधीन होता है। समर्थन से पूछें कि सर्वर भौतिक रूप से कहाँ स्थित हैं।
प्रॉक्सी के लिए सुरक्षित अधिकार क्षेत्र
ऐसे देश जिनमें गोपनीयता की मजबूत सुरक्षा और अनिवार्य लॉगिंग का अभाव है:
- स्विट्ज़रलैंड - डेटा सुरक्षा के लिए सख्त कानून, निगरानी गठबंधनों में नहीं है
- पनामा - अनिवार्य डेटा संग्रह के लिए कोई कानून नहीं है
- ब्रिटिश वर्जिन आइलैंड्स (BVI) - VPN और प्रॉक्सी के लिए लोकप्रिय अधिकार क्षेत्र
- सेशेल्स - अन्य देशों के साथ डेटा साझा करने के लिए कोई समझौता नहीं है
- रोमानिया - यूरोपीय संघ में है, लेकिन अनिवार्य लॉगिंग के लिए कोई कानून नहीं है
यदि प्रदाता रहवासी प्रॉक्सी इनमें से किसी एक देश में पंजीकृत है - तो यह एक अच्छा संकेत है, लेकिन यह कोई गारंटी नहीं है। फिर भी इस मार्गदर्शिका के अन्य बिंदुओं की जांच करें।
डेटा लीक के लिए तकनीकी परीक्षण
दस्तावेज़ों के विश्लेषण के अलावा, आप व्यावहारिक परीक्षण कर सकते हैं जो दिखाएंगे कि प्रॉक्सी आपकी गोपनीयता की कितनी सुरक्षा करती है। ये विधियाँ तकनीकी ज्ञान की आवश्यकता नहीं होती - केवल एक ब्राउज़र और 15-20 मिनट का समय चाहिए।
परीक्षण 1: DNS लीक की जांच
DNS अनुरोध यह प्रकट करते हैं कि आप कौन सी साइटों पर जाते हैं। यदि प्रॉक्सी DNS की सुरक्षा नहीं करती है - तो प्रदाता (या आपका इंटरनेट प्रदाता) आपके सभी अनुरोधों को प्रॉक्सी के माध्यम से भी देखता है।
कैसे जांचें:
- एंटी-डिटेक्ट ब्राउज़र (Dolphin Anty, AdsPower या GoLogin) के माध्यम से प्रॉक्सी से कनेक्ट करें
dnsleaktest.comवेबसाइट खोलें- "Extended test" (विस्तारित परीक्षण) पर क्लिक करें
- परिणामों की प्रतीक्षा करें
परिणामों में क्या होना चाहिए:
- ✓ सभी DNS सर्वर प्रॉक्सी प्रदाता या गुमनाम सेवाओं के हैं
- ✓ DNS सर्वरों का देश प्रॉक्सी के देश से मेल खाता है
- ✗ यदि आपके इंटरनेट प्रदाता का DNS दिखाई देता है - तो लीक है, प्रॉक्सी DNS की सुरक्षा नहीं करती
परीक्षण 2: WebRTC लीक की जांच
WebRTC - ब्राउज़र में वीडियो कॉल के लिए एक तकनीक है। यह प्रॉक्सी का उपयोग करते समय भी आपका असली IP पता प्रकट कर सकता है।
कैसे जांचें:
- प्रॉक्सी से कनेक्ट करें
browserleaks.com/webrtcखोलें- "Public IP Address" अनुभाग की जांच करें
क्या होना चाहिए:
- ✓ केवल प्रॉक्सी का IP दिखाई देता है
- ✗ यदि "Local IP" या "Public IP" अनुभाग में आपका असली IP दिखाई देता है - तो लीक है
💡 समाधान: यदि WebRTC लीक का पता चलता है - तो एंटी-डिटेक्ट ब्राउज़र की सेटिंग्स में WebRTC को बंद करें। Dolphin Anty और AdsPower में यह प्रोफ़ाइल सेटिंग्स → Advanced → WebRTC → Disabled या Altered में किया जाता है।
परीक्षण 3: HTTP हेडर की जांच
कुछ प्रॉक्सी HTTP अनुरोधों में ऐसे हेडर जोड़ते हैं जो यह प्रकट करते हैं कि आप प्रॉक्सी का उपयोग कर रहे हैं, या यहां तक कि आपका असली IP भी भेजते हैं।
कैसे जांचें:
- प्रॉक्सी से कनेक्ट करें
whoer.netयाbrowserleaks.com/ipखोलें- "HTTP headers" या "Request headers" अनुभाग की जांच करें
खतरनाक हेडर (नहीं होने चाहिए):
X-Forwarded-For- इसमें आपका असली IP हो सकता हैVia- यह बताता है कि अनुरोध प्रॉक्सी के माध्यम से जा रहा हैX-Real-IP- यह असली IP को प्रकट कर सकता हैForwarded- X-Forwarded-For का आधुनिक संस्करण
यदि ये हेडर मौजूद हैं - तो प्रॉक्सी गलत तरीके से सेट की गई है या प्रदाता जानबूझकर जानकारी देता है कि प्रॉक्सी का उपयोग किया जा रहा है। गुणवत्ता वाले मोबाइल प्रॉक्सी और रहवासी प्रॉक्सी को ऐसे हेडर नहीं जोड़ने चाहिए।
परीक्षण 4: भू-स्थान की संगति की जांच
यह परीक्षण दिखाता है कि प्रदाता कितना "स्वच्छ" IP प्रदान करता है - क्या विभिन्न स्रोतों से भू-स्थान के डेटा मेल खाते हैं।
कैसे जांचें:
- प्रॉक्सी से कनेक्ट करें
- IP की जांच के लिए कई सेवाएँ खोलें:
whoer.net,2ip.ru,ipleak.net - डेटा की तुलना करें: देश, शहर, प्रदाता, समय क्षेत्र
क्या होना चाहिए:
- ✓ सभी सेवाएँ समान देश और शहर दिखाती हैं
- ✓ ब्राउज़र का समय क्षेत्र IP के भू-स्थान से मेल खाता है
- ✓ इंटरनेट प्रदाता एक सामान्य ISP की तरह दिखता है, न कि डेटा केंद्र
- ✗ यदि डेटा एक-दूसरे के विपरीत हैं - तो IP "गंदा" है या प्रॉक्सी खराब तरीके से सेट की गई है
भुगतान और पंजीकरण विधियों का विश्लेषण
भुगतान के तरीके और पंजीकरण के दौरान आवश्यकताएँ यह बताती हैं कि प्रदाता उपयोगकर्ताओं की गोपनीयता को कितनी गंभीरता से लेता है।
गुमनाम भुगतान विधियाँ
प्रदाता जो वास्तव में गोपनीयता की परवाह करते हैं, गुमनाम भुगतान विधियाँ प्रदान करते हैं:
| भुगतान विधि | गुमनामी का स्तर | टिप्पणी |
|---|---|---|
| क्रिप्टोक्यूरेंसी (Bitcoin, Monero) | उच्च | अधिकतम गुमनामी, विशेष रूप से Monero |
| पूर्व-भुगतान कार्ड | मध्यम-उच्च | यदि सत्यापन की आवश्यकता नहीं है तो अच्छा है |
| PayPal | मध्यम | प्रदाता से आंशिक गुमनामी |
| बैंक कार्ड | निम्न | प्रदाता आपकी पहचान जानता है |
| बैंक ट्रांसफर | निम्न | पूर्ण पहचान का खुलासा |
यदि प्रदाता केवल बैंक कार्ड और ट्रांसफर को स्वीकार करता है - तो यह इस बात का संकेत है कि वे जानने के लिए तैयार हैं कि आप कौन हैं। भुगतान विधियों की सूची में क्रिप्टोकुरेंसी का होना एक अच्छा संकेत है (हालांकि यह लॉगिंग की अनुपस्थिति की गारंटी नहीं है)।
पंजीकरण के दौरान आवश्यकताएँ
ध्यान दें कि प्रदाता खाता बनाने के दौरान क्या मांगता है:
- ✓ केवल ईमेल - न्यूनतम आवश्यकताएँ, अस्थायी ईमेल का उपयोग किया जा सकता है
- ~ ईमेल + फोन नंबर - स्वीकार्य है यदि दस्तावेज़ों की सत्यापन की आवश्यकता नहीं है
- ✗ पहचान की सत्यापन (KYC) - पासपोर्ट, दस्तावेजों के साथ सेल्फी - प्रदाता निश्चित रूप से जानता है कि आप कौन हैं
- ✗ सोशल मीडिया से लिंक - पहचान का एक अतिरिक्त तरीका
⚠️ KYC का विरोधाभास: कुछ प्रदाता "धोखाधड़ी से लड़ने" के लिए पहचान की सत्यापन की मांग करते हैं, लेकिन साथ ही no-logs नीति का दावा करते हैं। यह विरोधाभास है - यदि वे आपके दस्तावेज़ों को संग्रहीत करते हैं, तो तकनीकी रूप से वे आपकी गतिविधि को पहचान से जोड़ सकते हैं, भले ही ट्रैफ़िक के लॉग न हों।
प्रतिष्ठा और समीक्षाओं का अध्ययन
पेशेवर समुदाय में प्रदाता की प्रतिष्ठा सबसे विश्वसनीय संकेतकों में से एक है। लोग जो डेटा लीक के कारण अपने खाते खो चुके हैं, वे इसके बारे में निश्चित रूप से लिखेंगे।
वास्तविक समीक्षाएँ कहाँ खोजें
प्रदाता की वेबसाइट पर या Trustpilot जैसी साइटों पर समीक्षाओं पर भरोसा न करें (इन्हें आसानी से बढ़ाया जा सकता है)। पेशेवर समुदायों में चर्चाएँ खोजें:
- आर्बिट्राजर्स के Telegram चैनल - वहाँ चर्चा होती है कि कौन से प्रदाता "डेटा लीक" करते हैं
- ट्रैफ़िक आर्बिट्राज के फोरम - सुरक्षा और गोपनीयता के बारे में विषय खोजें
- Reddit - सबरेडिट्स r/privacy, r/VPN (VPN की जांच के सिद्धांत प्रॉक्सी पर लागू होते हैं)
- विशेषीकृत फोरम - blackhatworld.com, bhw.com उपकरणों पर चर्चा के लिए
- YouTube समीक्षाएँ - व्यावसायिक समीक्षाओं की बजाय प्रैक्टिशनर्स द्वारा स्वतंत्र समीक्षाएँ खोजें
समीक्षाओं में किन बातों पर ध्यान दें
विशिष्ट घटनाओं का उल्लेख खोजें:
- "प्रॉक्सी का उपयोग करने के बाद [प्रदाता] से सभी फेसबुक खातों का चेन-बैन मिला" - खातों के बीच संबंध का लीक संभव है
- "प्रदाता ने अदालत के अनुरोध पर लॉग भेजे" - लॉग के संग्रहीत होने की पुष्टि
- "IP जल्दी काले सूचियों में चले जाते हैं" - यह संकेत है कि IP स्पैम के लिए उपयोग हो रहे हैं या प्रदाता एक IP को कई लोगों को बेचता है
- "समर्थन ने मेरी गतिविधि के विवरण मांगे" - इसका मतलब है कि उनके पास लॉग तक पहुँच है
घटनाओं के इतिहास की जांच
Google में खोजें:
"[प्रदाता का नाम]" + "data breach"- डेटा लीक"[प्रदाता का नाम]" + "logging" + "proof"- लॉगिंग के प्रमाण"[प्रदाता का नाम]" + "banned accounts"- खातों के बैन के साथ संबंध"[प्रदाता का नाम]" + "warrant canary"- क्या अधिकारियों के अनुरोधों के बारे में चेतावनी प्रणाली है
यदि आप डेटा लीक या अधिकारियों को लॉग भेजने की खबरें पाते हैं - तो यह एक महत्वपूर्ण लाल झंडा है। एक ऐसा घटना भी यह दर्शाता है कि no-logs नीति व्यवहार में काम नहीं कर रही है।
प्रदाता की पारदर्शिता के संकेतक
जो प्रदाता वास्तव में डेटा को लॉग नहीं करते हैं, वे आमतौर पर अपने काम में अधिकतम पारदर्शी होते हैं। यहाँ कुछ संकेत हैं जिन्हें देखना चाहिए:
वारंट कैनरी (Warrant Canary)
यह प्रदाता का सार्वजनिक बयान है कि उसने कानून प्रवर्तन से कोई अनुरोध प्राप्त नहीं किया है। इसे नियमित रूप से अपडेट किया जाता है (हर तिमाही या वर्ष)। यदि बयान अपडेट करना बंद कर देता है - तो इसका मतलब है कि प्रदाता ने अनुरोध प्राप्त किया है और कानूनी रूप से इसके बारे में सीधे सूचित नहीं कर सकता, लेकिन "भूल" सकता है कि वारंट कैनरी को अपडेट करना है।
वारंट कैनरी का उदाहरण:
- कोई राष्ट्रीय सुरक्षा पत्र
- कोई गाग आदेश
- किसी भी सरकारी संगठन से कोई वारंट
- उपयोगकर्ता डेटा लॉग करने के लिए कोई अनुरोध
वारंट कैनरी का होना - एक बहुत मजबूत सकारात्मक संकेत है। यह दिखाता है कि प्रदाता उपयोगकर्ताओं को चेतावनी देने के लिए कानूनी जोखिम उठाने के लिए तैयार है।
पारदर्शिता रिपोर्ट (Transparency Report)
कुछ प्रदाता अधिकारियों और कंपनियों से डेटा अनुरोधों पर नियमित रिपोर्ट प्रकाशित करते हैं। रिपोर्ट में निम्नलिखित का उल्लेख किया जाता है:
- कानून प्रवर्तन से प्राप्त अनुरोधों की संख्या
- अनुरोधों की संख्या जिनका पालन किया गया
- अनुरोधों की संख्या जिन्हें अस्वीकार किया गया
- अनुरोधित डेटा के प्रकार
- अनुरोधों के आने वाले देशों
यदि प्रदाता पारदर्शिता रिपोर्ट प्रकाशित करता है और वहाँ "0 अनुरोध डेटा की अनुपलब्धता के कारण पूरा नहीं किया गया" का उल्लेख है - तो यह व्यवहार में no-logs नीति की पुष्टि करता है।
स्वतंत्र सुरक्षा ऑडिट
शीर्ष प्रदाता अपनी अवसंरचना का स्वतंत्र ऑडिट विशेष कंपनियों (जैसे, PwC, Cure53, Deloitte) से करवाते हैं। ऑडिटर्स जांचते हैं:
- क्या वास्तव में सर्वरों पर लॉगिंग सिस्टम नहीं हैं
- क्या तकनीकी कार्यान्वयन घोषित नीति के अनुरूप है
- क्या कोई कमजोरियाँ हैं जो डेटा लीक का कारण बन सकती हैं
यदि प्रदाता ने स्वतंत्र ऑडिट पास किया है और परिणाम प्रकाशित करता है - तो यह विश्वास का अधिकतम स्तर है। जांचें:
- किसने ऑडिट किया (क्या यह एक प्रसिद्ध कंपनी है)
- कब किया गया (क्या रिपोर्ट ताज़ा है या 5 साल पहले की)
- क्या पूरी रिपोर्ट प्रकाशित की गई है या केवल "संक्षेप" है
ओपन-सोर्स घटक
कुछ प्रदाता अपने कोड का एक हिस्सा ओपन करते हैं (क्लाइंट एप्लिकेशन, पुस्तकालय)। यह स्वतंत्र शोधकर्ताओं को लॉगिंग की छिपी हुई कार्यक्षमताओं की अनुपस्थिति की जांच करने की अनुमति देता है। हालाँकि सर्वर का हिस्सा अभी भी बंद रहता है, क्लाइंट कोड की पारदर्शिता - एक सकारात्मक संकेत है।
लाल झंडे: कब निश्चित रूप से लॉगिंग है
ऐसी स्थितियाँ हैं जब आप निश्चित रूप से कह सकते हैं कि प्रदाता डेटा लॉग कर रहा है, भले ही वह इसे नकारता हो। यहाँ कुछ महत्वपूर्ण लाल झंडों की सूची है:
प्रदाता आपकी गतिविधि दिखा सकता है
यदि आप समर्थन से किसी समस्या के साथ संपर्क करते हैं और ऑपरेटर कहता है: "मैं देखता हूँ कि आप 14:35 पर साइट X पर गए थे" या "आपका IP इन संसाधनों तक पहुँचने के लिए उपयोग किया गया था" - तो यह लॉगिंग का सीधा प्रमाण है। वास्तविक no-logs नीति वाला प्रदाता यह नहीं जान सकता कि आप क्या कर रहे थे।
मुफ्त प्रॉक्सी
मुफ्त प्रॉक्सी हमेशा डेटा लॉग करती हैं - यह उनका व्यवसाय मॉडल है। वे या तो आपके डेटा को विज्ञापनदाताओं को बेचते हैं, या अन्य उद्देश्यों के लिए उपयोग करते हैं। कभी भी महत्वपूर्ण खातों के साथ काम करने के लिए मुफ्त प्रॉक्सी का उपयोग न करें।
बहुत सस्ते मूल्य
यदि डेटा सेंटर प्रॉक्सी बाजार मूल्य से 5-10 गुना सस्ती हैं - तो प्रदाता कैसे कमाई करता है, इसका सवाल करें। संभवतः आपके डेटा को बेचना या आपके ट्रैफ़िक का उपयोग DDoS हमलों के लिए।
प्रमाणपत्र स्थापित करने की आवश्यकता
यदि प्रदाता "HTTPS के सही काम के लिए" रूट SSL प्रमाणपत्र स्थापित करने की मांग करता है - तो यह उसे आपके सभी HTTPS ट्रैफ़िक को डिक्रिप्ट करने की अनुमति देता है (मैन-इन-द-मिडल हमला)। वैध प्रॉक्सी प्रदाता कभी भी प्रमाणपत्र स्थापित करने की मांग नहीं करते।
गोपनीयता के दस्तावेज़ों की अनुपस्थिति
यदि गोपनीयता नीति नहीं है, सेवा की शर्तें अस्पष्ट हैं, या अधिकार क्षेत्र का उल्लेख नहीं है - तो इसका मतलब है कि प्रदाता जानकारी छिपा रहा है।