Microsoft heeft onlangs de ingebouwde Edge Secure Network ‘VPN’-functie op het sociale platform gepromoot. Microsoft beweert dat deze functie is gebaseerd op ‘VPN-technologie’ die verkeer binnen de browser versleutelt om afluisteren, volgen en kwaadaardige aanvallen van derden te helpen weerstaan, en de online privacy verbetert door IP-adressen van gebruikers te verbergen.
De functie, genaamd Edge Secure Network VPN, is geïntegreerd in de Edge-browser en kan in theorie de installatie van sommige VPN's van derden vervangen, maar er is een maandelijkse verkeerslimiet van 5 GB. Gebruikers moeten op het menu met drie stippen in de rechterbovenhoek van Edge klikken, "Meer tools" selecteren en "Beveiligd netwerk" invoeren, vervolgens op "Get VPN for Free" klikken en inloggen met een persoonlijk Microsoft-account om dit in te schakelen. Nadat het gratis quotum is opgebruikt, wordt de encryptiebescherming opgeschort en opnieuw ingesteld in de volgende factureringscyclus; Om verkeer te besparen, worden scenario's met hoge bandbreedte zoals Netflix, Hulu, HBO en andere videostreamingmedia uitgesloten van de gecodeerde tunnel. Bovendien wordt deze functie momenteel niet ondersteund op zakelijke of beheerde apparaten en is deze in sommige regio's niet beschikbaar.
Wat de serverselectie betreft, staat Edge Secure Network VPN niet toe dat gebruikers handmatig knooppunten of landen/regio's opgeven. In antwoord op vragen van gebruikers bevestigde Microsoft dat de service automatisch verbinding zal maken met geografisch "dichtstbijzijnde" servers en niet de optie zal openen om handmatig van regio te wisselen. Microsoft zei ook dat deze functie een zekere mate van "intelligentie" heeft en automatisch zal worden geactiveerd bij toegang tot een website die niet volledig gecodeerd is of in een netwerkomgeving die als een hoog risico wordt beschouwd (zoals openbare Wi-Fi). Gebruikers kunnen het ook in de instellingen aanpassen om het in meer browserscenario's in te schakelen of alleen op aanvraag in te schakelen. In de officiële beschrijving positioneert Microsoft Edge Secure Network als een ingebouwde ‘basisbescherming’ en beweert niet expliciet dat het traditionele onafhankelijke VPN-diensten volledig kan vervangen. Het gebruikt echter nog steeds termen als ‘maandelijkse gratis VPN-gegevensbescherming’ en ‘gebruik van VPN-technologie’ in zijn marketingretoriek.
Deze publiciteit lokte al snel technisch scepticisme uit bij privacyonderzoeker Sooraj Sathyanarayanan, die momenteel in het Brave-browserteam werkt en zich al lange tijd zorgen maakt over privacy- en beveiligingskwesties. Sooraj publiceerde op
Volgens de analyse van Sooraj is Edge Secure Network in wezen een verkeerstunnel op browserniveau, en niet een virtueel particulier netwerk op systeemniveau. Dit betekent dat alleen netwerkverzoeken die door de Edge-browser worden gegenereerd naar het gecodeerde kanaal worden verzonden, terwijl andere applicaties in het systeem, achtergrondservices, e-mailclients, updates van het besturingssysteem en zelfs DNS-query's het reguliere netwerkpad blijven volgen en niet worden beschermd door deze functie.
Hij definieert het als de HTTP CONNECT-proxyarchitectuur gebouwd op de Cloudflare Privacy Proxy, ontworpen om browsersessies binnen Edge te beschermen, in plaats van een end-to-end gecodeerde tunnel voor het hele apparaat op te zetten. Daarentegen leiden veel commerciële VPN-tools al het netwerkverkeer op uniforme wijze van een apparaat naar een gecodeerde uitgang en bieden ze functies zoals een "kill switch" en serverregioselectie.
Onderzoekers wezen er ook op dat Edge Secure Network standaard draait in wat Microsoft de ‘geoptimaliseerde modus’ noemt, wat betekent dat het alleen automatisch wordt ingeschakeld onder bepaalde omstandigheden (zoals verbinding maken met openbare Wi-Fi, bezoeken van niet-HTTPS-websites, enz.), tenzij de gebruiker de instellingen handmatig aanpast om het uit te breiden naar alle browserscenario’s. Voor het inschakelen van deze functie is bovendien inloggen op een persoonlijk Microsoft-account vereist. Microsoft legt uit dat dit bedoeld is om de maandelijkse verkeerslimiet van 5 GB te meten en af te dwingen, maar volgens de onderzoeker betekent dit ook dat deze beschermingslaag is gekoppeld aan een geverifieerde identiteit in plaats van aan anoniem gebruik.
In termen van vertrouwensmodel omschreef Sooraj Edge Secure Network als een "vertrouwensarchitectuur met twee partijen": Microsoft is verantwoordelijk voor het identiteitsbeheer van accounts en Cloudflare is verantwoordelijk voor netwerkroutering. Microsoft verzekert dat Cloudflare de identiteit van het gebruikersaccount niet kan zien, en Cloudflare verklaarde in zijn openbare verklaring dat het de specifieke verkeersinhoud van de gebruiker niet zal controleren. Onderzoekers waarschuwen echter dat het hele systeem gebaseerd is op vertrouwen in verklaringen van beide partijen en dat er geen onafhankelijke openbare audits zijn om de details van de gegevensverwerking te verifiëren. Hij vermeldde ook dat Edge Secure Network geen handmatige regioselectie heeft, beperkte transparantie heeft in het routeringsgedrag en enkele van de beveiligingsmechanismen mist die gebruikelijk zijn bij traditionele VPN's voor volledige apparaten.
Kijkend naar de bredere sectorcontext is Microsoft niet de enige die een netwerkbeschermingslaag in browsers introduceert. De Opera-browser heeft al een soortgelijke "in-browser VPN" -functie ingebouwd, waardoor deze wordt gepositioneerd als een geïntegreerd onderdeel voor privacybescherming. Dit type tool legt de nadruk op 'gemak eerst'-scenario's: automatisch ingeschakeld onder specifieke omstandigheden, eenvoudig te configureren, tot op zekere hoogte de expliciete risico's verminderend die worden veroorzaakt door onveilige verbindingen zoals openbare Wi-Fi, terwijl de duidelijke prestatieverliezen worden vermeden die kunnen worden veroorzaakt door systeembrede VPN's. Vanuit het perspectief van hun oorspronkelijke ontwerpintenties en -mogelijkheden kunnen en mogen deze ingebouwde browserbeveiligingen echter niet worden beschouwd als volledige vervangingen voor traditionele VPN-diensten.
Een belangrijke vraag in de controverse rond Edge Secure Network is hoe nauwkeurig en transparant leveranciers de reikwijdte van hun mogelijkheden moeten definiëren wanneer ze dergelijke mogelijkheden aan gebruikers adverteren. Voor gewone gebruikers betekent de term ‘VPN’ vaak privacybescherming op systeemniveau, full-traffic-privacy en regio-switchingmogelijkheden, terwijl Edge Secure Network dichter bij de categorie van ‘ingebouwde beveiligingsproxy’ ligt. Of deze functie in de toekomst kan worden beschouwd als een “praktische basisbescherming” of een “oververpakte privacyfunctie” hangt grotendeels af van de manier waarop Microsoft zijn positionering en beperkingen in officiële documenten en marketinguitingen blijft verduidelijken. Microsoft heeft nog geen verdere publieke verklaring afgelegd over de kritiek van de onderzoeker. De media zeiden dat ze om een duidelijkere verklaring van Microsoft hebben gevraagd en dat ze het rapport zullen bijwerken na ontvangst van een reactie.