Quay lại blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Cách đảm bảo rằng proxy không ghi lại dữ liệu: 7 cách kiểm tra nhà cung cấp

Tìm hiểu cách kiểm tra nhà cung cấp proxy về việc ghi lại dữ liệu: phân tích chính sách bảo mật, thử nghiệm kỹ thuật, kiểm tra quyền tài phán và các phương pháp bảo vệ khác.

📅20 tháng 2, 2026
```html

Khi bạn làm việc với hàng chục tài khoản quảng cáo Facebook Ads, quản lý hồ sơ khách hàng trên Instagram hoặc thu thập giá của đối thủ trên các sàn thương mại điện tử — vấn đề bảo mật trở nên cực kỳ quan trọng. Nhà cung cấp proxy thấy toàn bộ lưu lượng truy cập của bạn: những trang web nào bạn truy cập, những dữ liệu nào bạn nhập, từ những tài khoản nào bạn làm việc. Nếu nhà cung cấp ghi lại (lưu giữ) thông tin này — dữ liệu của bạn có thể rơi vào tay bên thứ ba, đối thủ cạnh tranh hoặc cơ quan thực thi pháp luật.

Trong hướng dẫn này, chúng ta sẽ xem xét 7 cách thực tiễn để kiểm tra nhà cung cấp proxy về việc ghi lại dữ liệu — từ phân tích tài liệu đến thử nghiệm kỹ thuật. Các phương pháp này phù hợp cho các nhà tiếp thị, chuyên gia SMM, người bán trên các sàn thương mại điện tử và tất cả những ai coi trọng sự riêng tư.

Tại sao việc ghi lại dữ liệu lại nguy hiểm cho doanh nghiệp của bạn

Trước khi đi vào các phương pháp kiểm tra, quan trọng là hiểu những rủi ro nào mà việc ghi lại dữ liệu của nhà cung cấp proxy mang lại. Đây không phải là một mối đe dọa trừu tượng — đây là những kịch bản thực tế có thể phá hủy doanh nghiệp của bạn.

Nhà cung cấp có thể ghi lại những gì

Khi toàn bộ lưu lượng truy cập của bạn đi qua máy chủ proxy, nhà cung cấp về mặt kỹ thuật có quyền truy cập vào:

  • Các trang web đã truy cập và URL — những nền tảng bạn sử dụng (Facebook Ads, Instagram, Wildberries)
  • Thời gian — khi nào và bao lâu bạn đã làm việc với mỗi tài khoản
  • Khối lượng dữ liệu đã truyền — bao nhiêu lưu lượng truy cập mỗi địa chỉ IP đã tiêu thụ
  • Dữ liệu không được mã hóa — nếu bạn sử dụng HTTP thay vì HTTPS, nhà cung cấp thấy toàn bộ nội dung của các yêu cầu
  • Siêu dữ liệu của các tài khoản — mối liên hệ giữa các IP khác nhau và các tài khoản của bạn
  • Dữ liệu xác thực — tên đăng nhập, mật khẩu, mã thông báo khi sử dụng proxy HTTP không mã hóa

Rủi ro thực tế cho các loại người dùng khác nhau

Đối với các nhà tiếp thị:

  • Tiết lộ mối liên hệ giữa các tài khoản quảng cáo → cấm chuỗi trong Facebook Ads
  • Rò rỉ các ý tưởng sáng tạo và liên kết cho đối thủ
  • Chuyển giao dữ liệu cho các nền tảng quảng cáo theo yêu cầu
  • Chặn tất cả các tài khoản nếu nền tảng nhận được nhật ký từ nhà cung cấp

Đối với các chuyên gia SMM:

  • Mất tài khoản khách hàng Instagram/TikTok do tiết lộ đa tài khoản
  • Rò rỉ chiến lược nội dung và lịch đăng bài
  • Truy cập của bên thứ ba vào cuộc trò chuyện với khách hàng
  • Rủi ro về danh tiếng khi rò rỉ dữ liệu khách hàng

Đối với người bán trên các sàn thương mại điện tử:

  • Tiết lộ chiến lược giá và theo dõi đối thủ
  • Chuyển giao dữ liệu về việc thu thập cho chính các sàn thương mại điện tử (Wildberries, Ozon)
  • Rò rỉ thông tin về nhà cung cấp và sản phẩm
  • Chặn tài khoản của người bán khi chuyển giao nhật ký cho nền tảng

Kịch bản nguy hiểm nhất — khi nhà cung cấp hợp tác với các nền tảng (Facebook, Google, Instagram) và chuyển giao nhật ký cho họ theo yêu cầu. Trong trường hợp này, nền tảng nhận được bức tranh đầy đủ về việc bạn sử dụng nhiều tài khoản và có thể chặn tất cả các tài khoản liên quan cùng một lúc.

Phân tích chính sách bảo mật của nhà cung cấp

Cách kiểm tra đầu tiên và đơn giản nhất — xem xét kỹ lưỡng chính sách bảo mật (Privacy Policy) trên trang web của nhà cung cấp. Các công ty nghiêm túc thường chỉ rõ họ ghi lại những gì và không ghi lại những gì.

Những gì cần tìm trong Privacy Policy

Mở chính sách bảo mật của nhà cung cấp và tìm các phần về việc ghi lại dữ liệu. Chú ý đến các cụm từ sau:

Cụm từ Ý nghĩa Đánh giá
"Chính sách không ghi lại" hoặc "Zero-logs" Nhà cung cấp tuyên bố rằng không lưu giữ nhật ký hoạt động của người dùng ✓ Tốt
"Chúng tôi thu thập nhật ký kết nối trong 24-48 giờ" Lưu giữ nhật ký kết nối (IP, thời gian) tạm thời cho các mục đích kỹ thuật ~ Chấp nhận được
"Chúng tôi ghi lại lưu lượng để kiểm soát chất lượng" Ghi lại toàn bộ lưu lượng cho "kiểm soát chất lượng" — nguy hiểm ✗ Xấu
"Chúng tôi có thể chia sẻ dữ liệu với cơ quan thực thi pháp luật" Chuyển giao dữ liệu theo yêu cầu của chính quyền — có nghĩa là họ lưu giữ nhật ký ✗ Xấu
"Chúng tôi không theo dõi hoạt động duyệt web của bạn" Không theo dõi các trang web bạn truy cập ✓ Tốt
Không có chính sách bảo mật nào cả Cờ đỏ nghiêm trọng — tránh nhà cung cấp như vậy ✗✗ Nguy hiểm

Các câu hỏi chính cho Privacy Policy

Khi phân tích tài liệu, hãy tự hỏi những câu hỏi này:

  1. Có tuyên bố rõ ràng về no-logs không? Nếu nhà cung cấp không lưu giữ nhật ký — họ sẽ viết rõ điều đó, đây là lợi thế cạnh tranh.
  2. Họ ghi lại những gì cho "mục đích kỹ thuật"? Sự khác biệt giữa việc ghi lại thời gian kết nối và toàn bộ lưu lượng là rất lớn.
  3. Nhật ký được lưu giữ trong bao lâu? 24 giờ — chấp nhận được, 30 ngày — đã nguy hiểm, "vô thời hạn" — tránh xa.
  4. Họ chia sẻ dữ liệu với ai? Nếu có cụm từ "đối tác bên thứ ba" mà không làm rõ ai là ai — cờ đỏ.
  5. Có đề cập đến warrant canary không? Đây là chỉ số cho thấy nhà cung cấp nghiêm túc về sự riêng tư (sẽ giải thích bên dưới).

💡 Mẹo thực tiễn: Sử dụng tìm kiếm trên trang (Ctrl+F) và tìm các từ: "log", "store", "retain", "collect", "share", "third party". Điều này sẽ nhanh chóng cho bạn thấy tất cả các đề cập đến việc ghi lại trong tài liệu.

Ví dụ về chính sách tốt và xấu

✓ Ví dụ về cụm từ tốt:

"Chúng tôi thực hiện chính sách không ghi lại nghiêm ngặt. Chúng tôi không lưu giữ bất kỳ thông tin nào về các trang web bạn truy cập, các truy vấn tìm kiếm hoặc nội dung dữ liệu. Chúng tôi chỉ giữ lại siêu dữ liệu kết nối tối thiểu (thời gian và băng thông sử dụng) trong 24 giờ để xử lý sự cố kỹ thuật, mà không thể xác định hoạt động trực tuyến của bạn."

✗ Ví dụ về cụm từ xấu:

"Chúng tôi có thể thu thập và lưu giữ thông tin về việc bạn sử dụng dịch vụ của chúng tôi bao gồm nhưng không giới hạn ở lịch sử duyệt web, thời gian kết nối và tài nguyên đã truy cập. Dữ liệu này có thể được chia sẻ với bên thứ ba cho các mục đích kinh doanh hoặc cung cấp cho cơ quan thực thi pháp luật theo yêu cầu."

Nếu chính sách bảo mật được viết một cách mơ hồ, với nhiều điều khoản "có thể", "có thể", "trong một số trường hợp" — đây là dấu hiệu cho thấy nhà cung cấp để lại khả năng ghi lại bất cứ điều gì. Các nhà cung cấp đáng tin cậy thường diễn đạt một cách rõ ràng và cụ thể.

Kiểm tra quyền tài phán và luật pháp

Ngay cả khi nhà cung cấp tuyên bố về chính sách no-logs, luật pháp của quốc gia đăng ký có thể yêu cầu họ lưu giữ dữ liệu. Đây là yếu tố quan trọng thứ hai trong việc kiểm tra.

Các quyền tài phán nguy hiểm cho sự riêng tư

Có các liên minh tình báo quốc tế yêu cầu các công ty lưu giữ dữ liệu người dùng và chuyển giao theo yêu cầu:

Liên minh Quốc gia Rủi ro
5 Eyes Mỹ, Vương quốc Anh, Canada, Úc, New Zealand Trao đổi dữ liệu tối đa giữa các cơ quan tình báo
9 Eyes 5 Eyes + Đan Mạch, Pháp, Hà Lan, Na Uy Mức độ giám sát cao
14 Eyes 9 Eyes + Đức, Bỉ, Ý, Tây Ban Nha, Thụy Điển Rủi ro trung bình
Nga Luật lưu giữ dữ liệu (Yarovaya) Lưu giữ nhật ký bắt buộc từ 6-12 tháng
Trung Quốc Luật an ninh mạng Kiểm soát hoàn toàn của nhà nước đối với dữ liệu

Cách kiểm tra quyền tài phán của nhà cung cấp

Thực hiện các bước sau:

  1. Tìm phần "Giới thiệu" hoặc "Liên hệ" trên trang web của nhà cung cấp — thường có địa chỉ pháp lý của công ty.
  2. Kiểm tra WHOIS của miền — sử dụng các dịch vụ như whois.com để biết miền và công ty được đăng ký ở đâu.
  3. Xem xét Điều khoản dịch vụ — thường có quyền tài phán để giải quyết tranh chấp.
  4. Kiểm tra thông tin thanh toán — quốc gia của tài khoản ngân hàng hoặc nhà cung cấp thanh toán sẽ cho biết vị trí thực tế.

⚠️ Quan trọng: Một số nhà cung cấp đăng ký công ty ở "quyền tài phán an toàn" (ví dụ: Panama, Seychelles), nhưng máy chủ vật lý lại nằm ở Mỹ hoặc EU. Trong trường hợp này, dữ liệu vẫn bị ràng buộc bởi luật pháp địa phương. Hãy hỏi bộ phận hỗ trợ nơi máy chủ vật lý được đặt.

Các quyền tài phán an toàn cho proxy

Các quốc gia có bảo vệ quyền riêng tư mạnh mẽ và không có yêu cầu lưu giữ dữ liệu bắt buộc:

  • Thụy Sĩ — luật bảo vệ dữ liệu nghiêm ngặt, không thuộc các liên minh giám sát
  • Panama — không có luật yêu cầu lưu giữ dữ liệu
  • Quần đảo Virgin thuộc Anh (BVI) — quyền tài phán phổ biến cho VPN và proxy
  • Seychelles — không có thỏa thuận chuyển giao dữ liệu với các quốc gia khác
  • Romania — thuộc EU, nhưng không có luật yêu cầu ghi lại dữ liệu

Nếu nhà cung cấp proxy dân cư được đăng ký tại một trong những quốc gia này — đó là một dấu hiệu tốt, nhưng không phải là bảo đảm. Hãy kiểm tra các điểm khác trong hướng dẫn này.

Thử nghiệm kỹ thuật về rò rỉ dữ liệu

Ngoài việc phân tích tài liệu, bạn có thể thực hiện các thử nghiệm thực tế cho thấy mức độ bảo vệ quyền riêng tư của proxy. Những phương pháp này không yêu cầu kiến thức kỹ thuật — chỉ cần một trình duyệt và 15-20 phút thời gian.

Thử nghiệm 1: Kiểm tra rò rỉ DNS

Các yêu cầu DNS tiết lộ các trang web bạn truy cập. Nếu proxy không bảo vệ DNS — nhà cung cấp (hoặc nhà cung cấp internet của bạn) thấy tất cả các yêu cầu của bạn ngay cả khi qua proxy.

Cách kiểm tra:

  1. Kết nối với proxy qua trình duyệt chống phát hiện (Dolphin Anty, AdsPower hoặc GoLogin)
  2. Mở trang web dnsleaktest.com
  3. Nhấn "Thử nghiệm mở rộng" (Extended test)
  4. Chờ kết quả

Những gì nên có trong kết quả:

  • ✓ Tất cả các máy chủ DNS thuộc về nhà cung cấp proxy hoặc các dịch vụ ẩn danh
  • ✓ Quốc gia của các máy chủ DNS trùng với quốc gia của proxy
  • ✗ Nếu thấy DNS của nhà cung cấp internet của bạn — có rò rỉ, proxy không bảo vệ DNS

Thử nghiệm 2: Kiểm tra rò rỉ WebRTC

WebRTC — công nghệ cho các cuộc gọi video trong trình duyệt. Nó có thể tiết lộ địa chỉ IP thực của bạn ngay cả khi sử dụng proxy.

Cách kiểm tra:

  1. Kết nối với proxy
  2. Mở browserleaks.com/webrtc
  3. Kiểm tra phần "Địa chỉ IP công khai"

Những gì nên có:

  • ✓ Chỉ hiển thị IP của proxy
  • ✗ Nếu thấy IP thực của bạn trong phần "IP cục bộ" hoặc "IP công khai" — có rò rỉ

💡 Giải pháp: Nếu phát hiện rò rỉ WebRTC — tắt WebRTC trong cài đặt của trình duyệt chống phát hiện. Trong Dolphin Anty và AdsPower, điều này được thực hiện trong cài đặt hồ sơ → Nâng cao → WebRTC → Tắt hoặc Thay đổi.

Thử nghiệm 3: Kiểm tra tiêu đề HTTP

Một số proxy thêm vào các tiêu đề trong các yêu cầu HTTP mà tiết lộ rằng bạn đang sử dụng proxy, hoặc thậm chí truyền tải địa chỉ IP thực của bạn.

Cách kiểm tra:

  1. Kết nối với proxy
  2. Mở whoer.net hoặc browserleaks.com/ip
  3. Kiểm tra phần "Tiêu đề HTTP" hoặc "Tiêu đề yêu cầu"

Các tiêu đề nguy hiểm (không nên có):

  • X-Forwarded-For — có thể chứa địa chỉ IP thực của bạn
  • Via — cho biết rằng yêu cầu đi qua proxy
  • X-Real-IP — có thể tiết lộ địa chỉ IP thực
  • Forwarded — phiên bản hiện đại của X-Forwarded-For

Nếu những tiêu đề này xuất hiện — proxy được cấu hình không đúng hoặc nhà cung cấp cố tình truyền tải thông tin rằng proxy đang được sử dụng. Các proxy di động chất lượng và proxy dân cư không nên thêm những tiêu đề như vậy.

Thử nghiệm 4: Kiểm tra tính nhất quán của định vị địa lý

Thử nghiệm này cho thấy mức độ "sạch" của IP mà nhà cung cấp cung cấp — liệu dữ liệu định vị từ các nguồn khác nhau có trùng khớp hay không.

Cách kiểm tra:

  1. Kết nối với proxy
  2. Mở một vài dịch vụ kiểm tra IP: whoer.net, 2ip.ru, ipleak.net
  3. So sánh dữ liệu: quốc gia, thành phố, nhà cung cấp, múi giờ

Những gì nên có:

  • ✓ Tất cả các dịch vụ hiển thị cùng một quốc gia và thành phố
  • ✓ Múi giờ của trình duyệt trùng với định vị địa lý của IP
  • ✓ Nhà cung cấp internet trông giống như một ISP thông thường, không phải là trung tâm dữ liệu
  • ✗ Nếu dữ liệu mâu thuẫn với nhau — IP "bẩn" hoặc proxy được cấu hình kém

Phân tích phương thức thanh toán và đăng ký

Các phương thức thanh toán và yêu cầu khi đăng ký nói lên nhiều điều về mức độ nghiêm túc của nhà cung cấp đối với quyền riêng tư của người dùng.

Các phương thức thanh toán ẩn danh

Các nhà cung cấp thực sự quan tâm đến quyền riêng tư thường cung cấp các phương thức thanh toán ẩn danh:

Phương thức thanh toán Mức độ ẩn danh Ghi chú
Tiền điện tử (Bitcoin, Monero) Cao Ẩn danh tối đa, đặc biệt là Monero
Thẻ trả trước Trung bình-cao Tốt nếu không yêu cầu xác minh
PayPal Trung bình Ẩn danh một phần từ nhà cung cấp
Thẻ ngân hàng Thấp Nhà cung cấp biết danh tính của bạn
Chuyển khoản ngân hàng Thấp Tiết lộ hoàn toàn danh tính

Nếu nhà cung cấp chỉ chấp nhận thẻ ngân hàng và chuyển khoản — đây là dấu hiệu cho thấy họ không ngại biết bạn là ai. Sự hiện diện của tiền điện tử trong danh sách phương thức thanh toán là dấu hiệu tốt (mặc dù không đảm bảo rằng không có ghi lại dữ liệu).

Yêu cầu khi đăng ký

Chú ý đến những gì nhà cung cấp yêu cầu khi tạo tài khoản:

  • Chỉ email — yêu cầu tối thiểu, có thể sử dụng email tạm thời
  • ~ Email + số điện thoại — chấp nhận được nếu không yêu cầu xác minh tài liệu
  • Xác minh danh tính (KYC) — hộ chiếu, ảnh tự sướng với tài liệu — nhà cung cấp chắc chắn biết bạn là ai
  • Liên kết với mạng xã hội — cách xác định bổ sung

⚠️ Nghịch lý KYC: Một số nhà cung cấp yêu cầu xác minh danh tính "để chống gian lận", nhưng lại tuyên bố về chính sách no-logs. Đây là một mâu thuẫn — nếu họ lưu giữ tài liệu của bạn, thì về mặt kỹ thuật họ có thể liên kết hoạt động của bạn với danh tính ngay cả khi không có nhật ký lưu lượng.

Nghiên cứu danh tiếng và đánh giá

Danh tiếng của nhà cung cấp trong cộng đồng chuyên nghiệp là một trong những chỉ số đáng tin cậy nhất. Những người đã mất tài khoản do rò rỉ dữ liệu chắc chắn sẽ viết về điều đó.

Nơi tìm kiếm đánh giá thực tế

Đừng tin tưởng vào các đánh giá trên trang web của chính nhà cung cấp hoặc trên các nền tảng như Trustpilot (chúng dễ dàng bị thao túng). Tìm kiếm các cuộc thảo luận trong các cộng đồng chuyên nghiệp:

  • Các kênh Telegram của các nhà tiếp thị — nơi họ thảo luận về các nhà cung cấp "rò rỉ" dữ liệu Facebook
  • Các diễn đàn về tiếp thị lưu lượng — tìm kiếm các chủ đề về an toàn và quyền riêng tư
  • Reddit — các subreddit r/privacy, r/VPN (các nguyên tắc kiểm tra VPN cũng áp dụng cho proxy)
  • Các diễn đàn chuyên biệt — blackhatworld.com, bhw.com để thảo luận về các công cụ
  • Đánh giá trên YouTube — tìm kiếm các đánh giá độc lập từ những người thực hành, không phải quảng cáo

Những gì cần chú ý trong các đánh giá

Tìm kiếm những đề cập đến các sự cố cụ thể:

  • "Sau khi sử dụng proxy từ [nhà cung cấp] tôi đã nhận được lệnh cấm chuỗi cho tất cả các tài khoản Facebook" — có thể có rò rỉ mối liên hệ giữa các tài khoản
  • "Nhà cung cấp đã chuyển giao nhật ký theo yêu cầu của tòa án" — xác nhận rằng nhật ký được lưu giữ
  • "IP nhanh chóng bị đưa vào danh sách đen" — dấu hiệu cho thấy IP được sử dụng cho spam hoặc nhà cung cấp bán một IP cho nhiều người
  • "Hỗ trợ đã yêu cầu chi tiết về hoạt động của tôi" — có nghĩa là họ có quyền truy cập vào nhật ký

Kiểm tra lịch sử sự cố

Tìm kiếm trên Google với các truy vấn:

  • "[tên nhà cung cấp]" + "data breach" — rò rỉ dữ liệu
  • "[tên nhà cung cấp]" + "logging" + "proof" — bằng chứng về việc ghi lại dữ liệu
  • "[tên nhà cung cấp]" + "banned accounts" — mối liên hệ với việc cấm tài khoản
  • "[tên nhà cung cấp]" + "warrant canary" — có hệ thống cảnh báo về yêu cầu của chính quyền hay không

Nếu bạn tìm thấy tin tức về rò rỉ dữ liệu hoặc chuyển giao nhật ký cho các cơ quan — đây là cờ đỏ nghiêm trọng. Ngay cả một sự cố như vậy cũng có nghĩa là chính sách no-logs không hoạt động trong thực tế.

Các chỉ số minh bạch của nhà cung cấp

Các nhà cung cấp thực sự không ghi lại dữ liệu thường rất minh bạch trong công việc của họ. Dưới đây là những dấu hiệu của sự mở cửa mà bạn nên tìm kiếm:

Warrant Canary (Chim canary)

Đây là tuyên bố công khai của nhà cung cấp rằng họ KHÔNG nhận được yêu cầu từ các cơ quan thực thi pháp luật. Được cập nhật thường xuyên (mỗi quý hoặc mỗi năm). Nếu tuyên bố không còn được cập nhật — có nghĩa là nhà cung cấp đã nhận được yêu cầu và về mặt pháp lý không thể thông báo trực tiếp, nhưng có thể "quên" cập nhật chim canary.

Ví dụ về cụm từ Warrant Canary:

Tính đến ngày 31 tháng 12 năm 2024, [Tên Công Ty] KHÔNG nhận được:
- Bất kỳ Thư An ninh Quốc gia nào
- Bất kỳ lệnh cấm nào
- Bất kỳ lệnh nào từ bất kỳ tổ chức chính phủ nào
- Bất kỳ yêu cầu nào để ghi lại dữ liệu người dùng

Sự hiện diện của Warrant Canary — là một tín hiệu tích cực rất mạnh. Điều này cho thấy nhà cung cấp sẵn sàng đối mặt với rủi ro pháp lý để cảnh báo người dùng.

Báo cáo minh bạch

Một số nhà cung cấp công bố các báo cáo định kỳ về các yêu cầu dữ liệu từ chính quyền và các công ty. Trong báo cáo, họ chỉ ra:

  • Số lượng yêu cầu nhận được từ các cơ quan thực thi pháp luật
  • Số lượng yêu cầu mà họ đã tuân theo
  • Số lượng yêu cầu mà họ đã từ chối
  • Các loại dữ liệu được yêu cầu
  • Các quốc gia từ đó các yêu cầu được gửi đến

Nếu nhà cung cấp công bố Báo cáo minh bạch và trong đó ghi rõ "0 yêu cầu được thực hiện do không có dữ liệu" — điều này xác nhận chính sách no-logs trong thực tế.

Kiểm toán an ninh độc lập

Các nhà cung cấp hàng đầu thường thuê kiểm toán độc lập cho cơ sở hạ tầng của họ từ các công ty chuyên môn (ví dụ: PwC, Cure53, Deloitte). Các kiểm toán viên kiểm tra:

  • Liệu thực sự không có hệ thống ghi lại trên các máy chủ
  • Liệu việc triển khai kỹ thuật có phù hợp với chính sách đã công bố không
  • Không có lỗ hổng nào có thể dẫn đến rò rỉ dữ liệu

Nếu nhà cung cấp đã trải qua kiểm toán độc lập và công bố kết quả — đây là mức độ tin cậy tối đa. Hãy kiểm tra:

  • Ai đã thực hiện kiểm toán (công ty có tiếng tăm không)
  • Khi nào được thực hiện (báo cáo mới hay đã 5 năm)
  • Báo cáo đầy đủ đã được công bố hay chỉ là "tóm tắt"

Các thành phần mã nguồn mở

Một số nhà cung cấp làm cho một phần mã của họ trở nên công khai (ứng dụng khách, thư viện). Điều này cho phép các nhà nghiên cứu độc lập kiểm tra sự thiếu vắng các chức năng ghi lại ẩn. Mặc dù phần máy chủ vẫn đóng, sự minh bạch của mã khách là một dấu hiệu tích cực.

Cờ đỏ: khi nào chắc chắn có ghi lại dữ liệu

Có những tình huống mà bạn có thể chắc chắn rằng nhà cung cấp ghi lại dữ liệu, ngay cả khi họ phủ nhận điều đó. Dưới đây là danh sách các cờ đỏ nghiêm trọng:

Nhà cung cấp có thể cho thấy hoạt động của bạn

Nếu bạn đã liên hệ với bộ phận hỗ trợ về một vấn đề và nhân viên nói: "Tôi thấy bạn đã truy cập vào trang web X lúc 14:35" hoặc "IP của bạn đã được sử dụng để truy cập các tài nguyên này" — đây là bằng chứng trực tiếp về việc ghi lại. Nhà cung cấp có chính sách no-logs thực sự không thể biết bạn đã làm gì.

Proxy miễn phí

Proxy miễn phí LUÔN ghi lại dữ liệu — đây là mô hình kinh doanh của họ. Họ hoặc bán dữ liệu của bạn cho các nhà quảng cáo, hoặc sử dụng cho các mục đích khác. Không bao giờ sử dụng proxy miễn phí cho các tài khoản quan trọng.

Giá quá rẻ

Nếu proxy trung tâm dữ liệu có giá rẻ hơn 5-10 lần so với thị trường — hãy đặt câu hỏi về cách nhà cung cấp kiếm tiền. Có thể là bằng cách bán dữ liệu của bạn hoặc sử dụng lưu lượng của bạn cho các cuộc tấn công DDoS.

Yêu cầu cài đặt chứng chỉ

Nếu nhà cung cấp yêu cầu cài đặt chứng chỉ SSL gốc "để HTTPS hoạt động đúng" — điều này cho phép họ giải mã toàn bộ lưu lượng HTTPS của bạn (tấn công man-in-the-middle). Các nhà cung cấp proxy hợp pháp KHÔNG BAO GIỜ yêu cầu cài đặt chứng chỉ.

Thiếu tài liệu về quyền riêng tư

Không có chính sách bảo mật, Điều khoản dịch vụ mơ hồ, không có quyền tài phán — có nghĩa là nhà cung cấp đang che giấu thông tin.

```