Biztonság
Utolsó frissítés: 2026. március 15.
Fontos számunkra ennek a webhelynek a biztonsága és a felhasználók adatainak védelme. Örömmel fogadjuk a biztonsági kutatók, fejlesztők és a nyilvánosság felelős sebezhetőség-bejelentéseit.
Ez az oldal ismerteti a felelős közzétételi irányelvünket — hogyan jelentsen sebezhetőséget, mi tartozik a hatókörbe, és hogyan fogunk reagálni. Kérjük, hogy a lehetséges biztonsági problémák vizsgálata és jelentése során kövesse ezeket az irányelveket.
Sebezhetőség jelentése
Ha biztonsági sebezhetőséget talált, kérjük, e-mailben jelentse nekünk. Ne hozza nyilvánosságra a sebezhetőséget addig, amíg nem volt ésszerű lehetőségünk kivizsgálni és javítani.
contact@freeonlinenosignup.comKérjük, a tárgy mezőben szerepeljen a "Security Vulnerability Report", és adjon meg a következőkből minél többet:
- A sebezhetőség és a lehetséges hatásának egyértelmű leírását
- Az érintett URL-t, endpointot vagy komponenst
- Lépésről lépésre a reprodukciós útmutatót
- Bármilyen proof-of-concept kódot, képernyőképeket vagy request/response példákat
- A nevét vagy felhasználónevét, ha szeretne megjelenni a köszönetnyilvánításban (opcionális)
Hatókör
Az alábbiak a felelős közzététel hatókörébe tartoznak:
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Szerveroldali injekciós sebezhetőségek (SQL injection, command injection stb.)
- Hitelesítés vagy jogosultság megkerülése
- Érzékeny adatok kitettsége vagy információszivárgás
- Olyan biztonsági félrekonfigurációk, amelyeket támadó ki tud használni
- Open redirectek, amelyek phishing támadásokhoz felhasználhatók
- Insecure direct object references
- Távoli kódfuttatás (Remote code execution)
Nem tartozik a hatókörbe
Az alábbiak nem tartoznak a hatókörbe, és nem fogadjuk el érvényes sebezhetőség-jelentésként:
- Szolgáltatásmegtagadás (DoS vagy DDoS) támadások vagy tesztelés
- Brute force támadások a webhely bármely része ellen
- Automatizált szkennelés előzetes írásbeli engedély nélkül
- Social engineering vagy phishing támadások a felhasználók vagy a csapat ellen
- Fizikai biztonsági problémák
- Olyan harmadik fél szolgáltatásaiban/könyvtáraiban/infrastruktúrájában lévő sebezhetőségek, amelyek nincsenek közvetlenül a kontrollunk alatt — ezeket a megfelelő gyártónak jelentse
- Hiányzó security headerek, amelyek ebben a konkrét kontextusban nem jelentenek bizonyítható, kihasználható sebezhetőséget
- Elméleti sebezhetőségek működő proof of concept vagy bizonyított hatás nélkül
- Olyan problémák, amelyek feltételezik, hogy a felhasználó már kompromittálta a saját eszközét vagy böngészőjét
Mire számíthat
Amikor sebezhetőségi jelentést küld, az alábbiakra számíthat tőlünk:
Visszaigazolás
A bejelentést 3 munkanapon belül visszaigazoljuk.
Kivizsgálás
Kivizsgáljuk a jelentést, és felmérjük annak érvényességét és súlyosságát. Szükség esetén kérdésekkel megkereshetjük.
Javítás
A megerősített sebezhetőségeket a lehető leghamarabb javítjuk, a súlyosság szerint priorizálva. A folyamat állásáról tájékoztatjuk.
Közzététel
A javítás után örömmel egyeztetünk a nyilvános közzétételről, ha szeretné. Kérjük, biztosítson számunkra ésszerű javítási időt a részletek publikálása előtt.
Vállalásaink
Ha jóhiszeműen és az irányelvnek megfelelően jelenti a sebezhetőséget, vállaljuk, hogy:
- nem indítunk jogi eljárást az Ön kutatása miatt
- bizalmasan kezeljük a jelentést, és nem osztjuk meg személyes adatait az Ön hozzájárulása nélkül
- tájékoztatjuk a probléma állapotáról
- kérés esetén elismerjük a felfedezést, ha a probléma megerősítést nyer
- a megerősített sebezhetőségeket ésszerű időn belül javítjuk
Cserébe azt kérjük, hogy ne férjen hozzá, ne módosítson és ne töröljön olyan adatokat, amelyek nem az Önéi; ne zavarja meg a webhely elérhetőségét; és ne végezzen teszteket más felhasználók fiókjain vagy adataikon.
Kapcsolat
Az irányelvvel kapcsolatos, nem sebezhetőségi jelentésekre vonatkozó kérdésekhez használja a kapcsolat oldalt. Nem biztonsági jellegű hibák bejelentéséhez használja a probléma bejelentése oldalt.