Политика безопасности

Последнее обновление: апрель 2025 г.



В SavePorn безопасность нашего Сервиса и данных наших пользователей является главным приоритетом. Настоящая политика описывает наши практики обеспечения безопасности, порядок сообщения об уязвимостях и что ожидать при их подаче.

1. Сообщение об уязвимостях безопасности

Если вы обнаружили уязвимость безопасности в SavePorn, мы просим вас ответственно сообщить о ней. Направляйте информацию по адресу:

[email protected]

При сообщении, пожалуйста, укажите:

  • Описание уязвимости и её потенциального воздействия.
  • Шаги для воспроизведения проблемы, включая соответствующие URL-адреса, параметры или полезные нагрузки.
  • Тип уязвимости (например, XSS, SQL injection, обход аутентификации, раскрытие данных).
  • Снимки экрана, журналы или код подтверждения концепции, демонстрирующий проблему.

2. Ответственное раскрытие

Мы убедительно просим вас:

  • Не раскрывать публично уязвимость до тех пор, пока мы не получим разумную возможность её устранить.
  • Не получать доступ к данным других пользователей, не изменять и не удалять их в рамках вашего исследования.
  • Не совершать действий, которые могут ухудшить работу Сервиса для других пользователей (например, атаки типа «отказ в обслуживании», массовый перебор).
  • Прилагать добросовестные усилия для того, чтобы не нарушать конфиденциальность других лиц.

Мы не будем преследовать в судебном порядке лиц, которые обнаруживают и сообщают об уязвимостях в соответствии с настоящей политикой.

3. Наша реакция

При сообщении об уязвимости вы можете ожидать:

  • Подтверждение получения в течение 48 часов после вашего сообщения.
  • Первоначальную оценку проблемы в течение 5 рабочих дней.
  • Регулярные обновления о ходе устранения проблемы.
  • Благодарность (при желании) в любом публичном объявлении об уязвимости после её устранения.

4. Область применения

Следующее входит в область применения сообщений о безопасности:

  • Веб-приложение SavePorn по адресу save.porn.
  • API SavePorn.
  • Аутентификация и управление сессиями.
  • Процессы обработки платежей.
  • Расширения для браузеров и нативные приложения, опубликованные SavePorn.

Следующее не входит в область применения:

  • Сторонние сервисы, с которыми мы интегрируемся (провайдеры электронной почты, сети блокчейнов).
  • Атаки методом социальной инженерии против сотрудников или пользователей SavePorn.
  • Физические атаки на инфраструктуру SavePorn.
  • Уязвимости в программном обеспечении или системах, не принадлежащих и не управляемых SavePorn.

5. Практики обеспечения безопасности

SavePorn применяет следующие меры безопасности для защиты данных пользователей:

  • Шифрование при передаче: Все соединения используют TLS. Незашифрованные HTTP-запросы перенаправляются на HTTPS.
  • Аутентификация: Мы используем магические коды с ограниченным сроком действия, отправляемые по электронной почте — пароли не хранятся. Сессии используют файлы cookie httpOnly, Secure, SameSite=Lax.
  • Контроль доступа: Все конечные точки API, обращающиеся к данным пользователей, требуют аутентификации. Пользователи могут получить доступ только к своим собственным данным.
  • Ограничение частоты запросов: Конечные точки API имеют ограничение частоты запросов для предотвращения злоупотреблений.
  • Без отслеживания: Мы не используем аналитику, рекламные трекеры или фингерпринтинг. Подробнее см. нашу Политику конфиденциальности.
  • Минимальный сбор данных: Мы собираем только данные, необходимые для работы Сервиса.

6. security.txt

В соответствии с RFC 9116 мы публикуем файл security.txt по адресу /.well-known/security.txt, содержащий нашу контактную информацию по вопросам безопасности и URL настоящей политики.

7. Контакты

По всем вопросам, связанным с безопасностью, обращайтесь по адресу:

[email protected]