سیاست امنیتی

آخرین به‌روزرسانی: آوریل ۲۰۲۵



در SavePorn، امنیت سرویس و داده‌های کاربران ما اولویت اصلی است. این سیاست اقدامات امنیتی ما، نحوه گزارش آسیب‌پذیری‌ها و آنچه هنگام گزارش انتظار دارید را شرح می‌دهد.

۱. گزارش آسیب‌پذیری‌های امنیتی

اگر آسیب‌پذیری امنیتی در SavePorn کشف کردید، از شما می‌خواهیم آن را به صورت مسئولانه گزارش دهید. لطفاً جزئیات را به این آدرس ارسال کنید:

[email protected]

هنگام گزارش، لطفاً موارد زیر را شامل کنید:

  • توضیحی از آسیب‌پذیری و تأثیر بالقوه آن.
  • مراحل بازتولید مشکل، شامل URL‌ها، پارامترها یا بارهای مرتبط.
  • نوع آسیب‌پذیری (مثلاً XSS، تزریق SQL، دور زدن احراز هویت، افشای داده).
  • هرگونه تصویر، لاگ یا کد اثبات مفهوم که مشکل را نشان می‌دهد.

۲. افشای مسئولانه

از شما صمیمانه درخواست می‌کنیم که:

  • آسیب‌پذیری را تا زمانی که ما فرصت معقولی برای رفع آن نداشته‌ایم به صورت عمومی افشا نکنید.
  • به عنوان بخشی از تحقیقات خود، به داده‌های سایر کاربران دسترسی نیابید، آنها را تغییر ندهید یا حذف نکنید.
  • اقداماتی که می‌تواند سرویس را برای سایر کاربران مختل کند (مثلاً حملات انکار سرویس، تلاش‌های بروت‌فورس در مقیاس بالا) انجام ندهید.
  • تلاش صادقانه‌ای برای جلوگیری از نقض حریم خصوصی دیگران انجام دهید.

ما اقدام قانونی علیه افرادی که آسیب‌پذیری‌ها را مطابق با این سیاست کشف و گزارش کنند، انجام نخواهیم داد.

۳. پاسخ ما

هنگام گزارش آسیب‌پذیری، می‌توانید انتظار موارد زیر را داشته باشید:

  • تأیید دریافت ظرف ۴۸ ساعت از گزارش شما.
  • ارزیابی اولیه مشکل ظرف ۵ روز کاری.
  • به‌روزرسانی‌های منظم در مورد پیشرفت ما در حل مشکل.
  • اعتبار (در صورت تمایل) در هرگونه تقدیر عمومی از آسیب‌پذیری، پس از حل آن.

۴. محدوده

موارد زیر در محدوده گزارش‌های امنیتی هستند:

  • برنامه وب SavePorn در save.porn.
  • API سرویس SavePorn.
  • احراز هویت و مدیریت نشست.
  • جریان‌های پردازش پرداخت.
  • افزونه‌های مرورگر و برنامه‌های بومی منتشر شده توسط SavePorn.

موارد زیر خارج از محدوده هستند:

  • سرویس‌های شخص ثالثی که با آنها یکپارچه شده‌ایم (ارائه‌دهندگان ایمیل، شبکه‌های بلاکچین).
  • حملات مهندسی اجتماعی علیه کارمندان یا کاربران SavePorn.
  • حملات فیزیکی علیه زیرساخت SavePorn.
  • آسیب‌پذیری‌ها در نرم‌افزار یا سیستم‌هایی که متعلق به SavePorn نیستند یا توسط آن اداره نمی‌شوند.

۵. اقدامات امنیتی

SavePorn اقدامات امنیتی زیر را برای محافظت از داده‌های کاربران به کار می‌برد:

  • رمزگذاری در حین انتقال: تمام اتصالات از TLS استفاده می‌کنند. درخواست‌های HTTP رمزگذاری نشده به HTTPS هدایت می‌شوند.
  • احراز هویت: ما از کدهای جادویی با محدودیت زمانی که از طریق ایمیل ارسال می‌شوند استفاده می‌کنیم — هیچ رمز عبوری ذخیره نمی‌شود. نشست‌ها از کوکی‌های httpOnly، Secure، SameSite=Lax استفاده می‌کنند.
  • کنترل دسترسی: تمام نقاط پایانی API که به داده‌های کاربر دسترسی دارند نیاز به احراز هویت دارند. کاربران فقط می‌توانند به داده‌های خود دسترسی داشته باشند.
  • محدودسازی نرخ: نقاط پایانی API برای جلوگیری از سوءاستفاده محدود شده‌اند.
  • بدون ردیابی: ما از تحلیل، ردیاب‌های تبلیغاتی یا اثرانگشت‌برداری استفاده نمی‌کنیم. برای جزئیات به سیاست حریم خصوصی ما مراجعه کنید.
  • حداقل جمع‌آوری داده: ما فقط داده‌های لازم برای اداره سرویس را جمع‌آوری می‌کنیم.

۶. security.txt

مطابق با RFC 9116، ما یک فایل security.txt در /.well-known/security.txt حاوی اطلاعات تماس امنیتی و آدرس این سیاست منتشر می‌کنیم.

۷. تماس

برای تمام موارد مرتبط با امنیت، با ما تماس بگیرید:

[email protected]