对我们的 letamullvadnet 搜索服务进行的安全审计

我们的 letamullvadnet 搜索服务的安全审计

2023年5月16日 外部审计安全

我们与 Assured AB 签订合同，对我们新的 Leta 搜索服务进行安全评估，评估期间为 2023年3月27日至 2023年3月31日。

今天，我们宣布新上线的 Leta 搜索服务，用户可以访问 letamullvadnet。该服务对有效的 Mullvad VPN 客户开放，并可作为支持的浏览器的默认搜索引擎使用。

Leta 也可以在 Mullvad 浏览器中设为默认搜索引擎。有关 Leta 的功能、使用方式以及限制的更多信息，请访问 Leta 常见问题解答。

服务条款 页面解释了服务的运作方式及其商业模式。

报告摘录：

“Assured 的任务是对 Mullvad Leta 进行渗透测试，并评估其 web 应用程序的安全性和隐私性。总体而言，Mullvad Leta 的攻击面较小，且实施了一些良好的措施来加强隐私和安全。”

请阅读 Assured 网站上的 完整审计报告。

报告说明和评论

311 (低) 缺少内容安全策略 (CSP)

Assured 建议 为所有文档配置内容安全策略 (CSP)，遵循最小权限原则。

Mullvad 我们已添加了 CSP。

312 (低) 部分记录唯一用户 ID

Assured 建议 在生产环境中完全禁用用户可识别日志条目，并在产品准备发布后尽快移除调试调用。这是一项预防性措施，以防将来意外泄露。

Mullvad 我们已移除所有用户 ID 的记录。

313 (注) 缺少 HTTP 严格传输安全头

Assured 建议 确保严格传输安全 (StrictTransportSecurity) 响应头的正确设置，因为这是告知客户端应仅通过 TLS (HTTPS) 连接到服务器的良好做法。

Mullvad 我们已修改配置，确保对我们 web 服务器提供的所有资产设置此头不过该服务仅通过 HTTPS 响应。

321 (低) 通过 Google 结果的潜在跨站脚本 (XSS)

Assured 建议 仅使用 Google 结果的纯文本描述，而不是信任外部方的 HTML。一个良好的 CSP参见发现 311也可能在某种程度上缓解此问题。

Mullvad 我们不再使用 Google 的 HTML 片段，只保留纯文本。

331 (注) 搜索词永远不会从缓存中删除

Assured 建议 为新条目设置硬性过期时间，并在过期时从数据库中清除条目。Redis 的内置过期机制已用于每天结束时清除每个用户的配额条目，应该足够稳健以满足此需求。如果搜索词例如涉及个人身份识别的词的存在被视为敏感信息，我们还建议允许用户将其搜索排除在缓存之外。

Mullvad 我们已更新所有条目在30天后过期，且搜索查询已被哈希处理。

341 (注) 明文搜索查询在缓存数据库中

Assured 建议 在将搜索词插入/查找缓存数据库之前进行哈希处理。由于搜索词缓存查找仅使用精确匹配，因此这不会影响功能。

Mullvad 我们现在在将搜索词添加到 Redis 之前进行哈希处理并添加盐。