Vi arbetar hårt för att göra Vilfo till den bästa VPN-routerlösningen som någonsin skapats. Säkerhet och integritet är en stor del av det.

Vi anser att säkerhetsgranskningar bör utföras av en tredje part, eftersom det är omöjligt att hitta alla problem internt. Vi hade läst några tidigare artiklar skrivna av ctrl.blog och uppskattade hans grundliga och kritiska arbete och bestämde oss därför för att skicka en prototyp till honom.

Vi håller inte med om alla hans uttalanden och slutsatser - men vi är överens om att han hittade flera områden där Vilfos säkerhet och integritet kunde förbättras. Vi har redan kunnat förbättra de flesta av dessa områden:

• Ta bort lösenord när du skickar in diagnostik
• Diagnostik lagras på en privat Vilfo-server i stället för att lämnas till Intercom
• Diagnostik rensas automatiskt
• MAC-adresser har ersatts med lokala IP-adresser i URI (t.ex. 192.168.0.12)
• Enheter använder de DNS-servrar som skickas ut av VPN-servern och DNS-uppslag omdirigeras genom VPN-tunneln
• Tagit bort OVPN:s DNS-servrar som standard. Vilfo använder nu internetlleverantörens DNS-adresser om inte annat anges manuellt.
• Lade till en sekretesspolicy på Vilfo.com
• Omorganiserat installationsflöde så första steget är att ställa in ett wifi-lösenord

Vi arbetar med:

• Lägga till stöd för HTTPS
• Potentiellt lägga till en lösenordsprompt när du ansluter en skärm till Vilfo. Innan detta måste vi lösa ett fysiskt sätt att fabriksåterställa enheten.

Ubus API i LEDE är utformat på ett sådant sätt att det kräver åtkomst till autentiseringsuppgifterna för en superanvändare för att kunna göra API-förfrågningar. Oavsett om detta lösenord lagras i en databas med en krypterad nyckel skulle lösenordet kunna dekrypteras med fysisk åtkomst till enheten. Vi söker andra lösningar, men fysisk manipulering är ett bekymmer som gäller alla enheter och är inte exklusivt för Vilfo.

Under utvecklingsprocessen fick vi mycket feedback och förstod vikten och värdet av att kunna få insikter och data för att replikera användarnas problem. Så småningom tog vi beslutet att användarupplevelsen skulle förbättras genom att integrera ett robust stödsystem direkt i Vilfo-gränssnittet för att snabbt vägleda användare och ta itu med eventuella frågor eller problem de kan ha.

Utöver att integrera Intercom direkt i användargränssnittet integrerade vi Google Analytics för att förstå vilka områden som behöver ytterligare utveckling, och för att på rätt sätt förstå hur Vilfo används.

Intercom och Google Analytics används för att bättre veta var man ska fokusera utvecklingen, göra meningsfulla förbättringar och förbättra användarupplevelsen. Så här har vi lyckats förbättra programvaran sedan november tillsammans med våra betatestare.

Med detta sagt har vi försökt vårt bästa för att säkerställa att det som delas med Analytics inte är känsligt eller påträngande. Uppenbarligen gjorde vi ett misstag när det gäller MAC-adresser i URL: er, varför vi uppskattar att ctrl.blog hittade och rapporterade detta problem.

Vi räknar med att inte alla vill ha Intercom och Google Analytics inkluderade, och nu tillåter vi därför användare att inaktivera dem.

Vi är mycket glada över vårt beslut att skicka en prototyp till ctrl.blog, eftersom det resulterade i en bättre och säkrare produkt.