安全政策
最后更新:2025 年 4 月
在 SavePorn,我们服务及用户数据的安全是最高优先事项。本政策概述了我们的安全实践、如何报告漏洞以及报告后您可以期待的处理方式。
1. 报告安全漏洞
如果您在 SavePorn 中发现安全漏洞,我们恳请您以负责任的方式向我们报告。请将详细信息发送至:
报告时,请包含以下信息:
- 漏洞描述及其潜在影响。
- 复现问题的步骤,包括相关的 URL、参数或有效载荷。
- 漏洞类型(例如 XSS、SQL injection、身份验证绕过、数据泄露)。
- 证明问题的截图、日志或概念验证代码。
2. 负责任的披露
我们恳请您:
- 在我们有合理机会处理漏洞之前,不要公开披露该漏洞。
- 在研究过程中,不要访问、修改或删除其他用户的数据。
- 不要执行可能降低其他用户服务质量的行为(例如拒绝服务攻击、大规模暴力破解尝试)。
- 真诚努力避免侵犯他人的隐私。
对于按照本政策发现并报告漏洞的个人,我们不会采取法律行动。
3. 我们的回应
当您报告漏洞时,您可以期待:
- 在您报告后 48 小时内确认收到。
- 在 5 个工作日内对问题进行初步评估。
- 关于我们解决问题进展的定期更新。
- 漏洞解决后,在任何公开声明中给予致谢(如您愿意)。
4. 范围
以下内容属于安全报告的范围:
- save.porn 上的 SavePorn 网络应用程序。
- SavePorn API。
- 身份验证和会话管理。
- 支付处理流程。
- SavePorn 发布的浏览器扩展和原生应用程序。
以下内容不在范围内:
- 我们集成的第三方服务(电子邮件提供商、区块链网络)。
- 针对 SavePorn 员工或用户的社会工程攻击。
- 针对 SavePorn 基础设施的物理攻击。
- 非 SavePorn 拥有或运营的软件或系统中的漏洞。
5. 安全实践
SavePorn 采取以下安全措施保护用户数据:
- 传输加密:所有连接使用 TLS。未加密的 HTTP 请求将被重定向至 HTTPS。
- 身份验证:我们使用通过电子邮件发送的限时魔法代码——不存储密码。会话使用 httpOnly、Secure、SameSite=Lax cookie。
- 访问控制:所有访问用户数据的 API 端点均需身份验证。用户只能访问自己的数据。
- 速率限制:API 端点设有速率限制,以防止滥用。
- 无追踪:我们不使用分析工具、广告追踪器或浏览器指纹技术。详情请参阅我们的隐私政策。
- 最小数据收集:我们仅收集运营服务所需的数据。
6. security.txt
根据 RFC 9116,我们在 /.well-known/security.txt 发布了 security.txt 文件,其中包含我们的安全联系信息和本政策的 URL。
7. 联系方式
如有任何安全相关事宜,请通过以下方式联系我们: