Політика безпеки

Останнє оновлення: квітень 2025



У SavePorn безпека нашого Сервісу та даних наших користувачів є головним пріоритетом. Ця політика описує наші практики безпеки, як повідомляти про вразливості та чого очікувати, коли ви це зробите.

1. Повідомлення про вразливості безпеки

Якщо ви виявили вразливість безпеки в SavePorn, ми просимо вас повідомити нам про неї відповідально. Будь ласка, надішліть деталі на:

[email protected]

При повідомленні, будь ласка, вкажіть:

  • Опис вразливості та її потенційного впливу.
  • Кроки для відтворення проблеми, включаючи відповідні URL-адреси, параметри або корисне навантаження.
  • Тип вразливості (наприклад, XSS, SQL-ін'єкція, обхід автентифікації, витік даних).
  • Будь-які знімки екрана, журнали або код підтвердження концепції, що демонструють проблему.

2. Відповідальне розкриття

Ми люб'язно просимо вас:

  • Не розкривати вразливість публічно, доки ми не матимемо розумної можливості її усунути.
  • Не отримувати доступ, змінювати або видаляти дані інших користувачів у рамках вашого дослідження.
  • Не виконувати дії, які можуть погіршити роботу Сервісу для інших користувачів (наприклад, атаки типу "відмова в обслуговуванні", масові спроби перебору).
  • Докладати добросовісних зусиль, щоб не порушувати конфіденційність інших.

Ми не переслідуватимемо в правовому порядку осіб, які виявляють та повідомляють про вразливості відповідно до цієї політики.

3. Наша відповідь

Коли ви повідомляєте про вразливість, ви можете очікувати:

  • Підтвердження протягом 48 годин після вашого повідомлення.
  • Початкову оцінку проблеми протягом 5 робочих днів.
  • Регулярні оновлення щодо нашого прогресу у вирішенні проблеми.
  • Подяку (за бажанням) у будь-якому публічному визнанні вразливості після її усунення.

4. Сфера застосування

Наступне входить до сфери застосування звітів про безпеку:

  • Веб-додаток SavePorn за адресою save.porn.
  • API SavePorn.
  • Автентифікація та управління сесіями.
  • Потоки обробки платежів.
  • Розширення для браузерів та нативні додатки, опубліковані SavePorn.

Наступне не входить до сфери застосування:

  • Сторонні сервіси, з якими ми інтегруємося (постачальники електронної пошти, мережі блокчейн).
  • Атаки соціальної інженерії на працівників або користувачів SavePorn.
  • Фізичні атаки на інфраструктуру SavePorn.
  • Вразливості в програмному забезпеченні або системах, які не належать SavePorn та не керуються ним.

5. Практики безпеки

SavePorn застосовує такі заходи безпеки для захисту даних користувачів:

  • Шифрування під час передачі: Усі з'єднання використовують TLS. Незашифровані HTTP-запити перенаправляються на HTTPS.
  • Автентифікація: Ми використовуємо обмежені в часі магічні коди, надіслані електронною поштою — жодні паролі не зберігаються. Сесії використовують файли cookie httpOnly, Secure, SameSite=Lax.
  • Контроль доступу: Усі кінцеві точки API, що отримують доступ до даних користувачів, вимагають автентифікації. Користувачі можуть отримати доступ лише до власних даних.
  • Обмеження швидкості: Кінцеві точки API мають обмеження швидкості для запобігання зловживанням.
  • Відсутність відстеження: Ми не використовуємо аналітику, рекламні трекери або фінгерпринтинг. Дивіться нашу Політику конфіденційності для деталей.
  • Мінімальний збір даних: Ми збираємо лише дані, необхідні для роботи Сервісу.

6. security.txt

Відповідно до RFC 9116, ми публікуємо файл security.txt за адресою /.well-known/security.txt, що містить нашу контактну інформацію з питань безпеки та URL цієї політики.

7. Контакти

З усіх питань, пов'язаних з безпекою, зв'яжіться з нами за адресою:

[email protected]