Drošība

Pēdējo reizi atjaunināts: 2026. gada 15. marts

Šīs vietnes drošība un lietotāju privātums mums ir svarīgs. Mēs atbalstām atbildīgu drošības ievainojamību izpaušanu no drošības pētniekiem, izstrādātājiem un sabiedrības locekļiem.

Šajā lapā aprakstīta mūsu atbildīgas izpaušanas politika — kā ziņot par ievainojamību, kas ir iekļauts tvērumā un kā mēs reaģēsim. Lūdzu, ievērojiet šīs vadlīnijas, izmeklējot un ziņojot par potenciālām drošības problēmām.

Ziņošana par ievainojamību

Ja esat atklājis drošības ievainojamību, lūdzu, ziņojiet mums pa e‑pastu. Neizpaudiet ievainojamību publiski, līdz mums ir bijusi saprātīga iespēja to izmeklēt un novērst.

contact@freeonlinenosignup.com

Lūdzu, iekļaujiet e‑pasta tēmā “Security Vulnerability Report” un sniedziet pēc iespējas vairāk no tālāk minētā:

  • Skaidru ievainojamības aprakstu un tās iespējamo ietekmi
  • Ietekmēto URL, endpointu vai komponenti
  • Soli pa solim instrukcijas, kā atkārtot problēmu
  • Jebkādu proof-of-concept kodu, ekrānuzņēmumus vai pieprasījuma/atbildes piemērus
  • Jūsu vārdu vai lietotājvārdu, ja vēlaties, lai jūs piemin (neobligāti)

Tvērumā

Šīs lietas tiek uzskatītas par iekļautām atbildīgā izpaušanā:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Servera puses injekciju ievainojamības (SQL injection, command injection u. c.)
  • Autentifikācijas vai autorizācijas apiešana
  • Sensitīvu datu atklāšana vai informācijas noplūde
  • Drošības nepareizas konfigurācijas, kuras varētu izmantot uzbrucējs
  • Open redirect, ko var izmantot pikšķerēšanā
  • Insecure direct object references
  • Attālināta koda izpilde (Remote code execution)

Ārpus tvēruma

Šīs lietas ir ārpus tvēruma un netiks pieņemtas kā derīgi ievainojamību ziņojumi:

  • Pakalpojuma atteices (DoS/DDoS) uzbrukumi vai testēšana
  • Brute force uzbrukumi jebkurai vietnes daļai
  • Automatizēta skenēšana bez iepriekšējas rakstiskas atļaujas
  • Sociālā inženierija vai pikšķerēšana, kas vērsta pret mūsu lietotājiem vai darbiniekiem
  • Fiziskās drošības jautājumi
  • Ievainojamības trešo pušu pakalpojumos, bibliotēkās vai infrastruktūrā, kas nav tieši mūsu kontrolē — ziņojiet par tām attiecīgajam piegādātājam
  • Trūkstoši drošības galvenes, kas šajā konkrētajā kontekstā nerada pierādāmu, izmantojamu ievainojamību
  • Teorētiskas ievainojamības bez strādājoša proof of concept vai pierādītas ietekmes
  • Problēmas, kas prasa, lai lietotājs jau būtu kompromitējis savu ierīci vai pārlūku

Ko sagaidīt

Iesniedzot ievainojamības ziņojumu, varat sagaidīt:

1

Saņemšanas apstiprinājums

Mēs apstiprināsim ziņojuma saņemšanu 3 darba dienu laikā.

2

Izmeklēšana

Mēs izmeklēsim ziņojumu un novērtēsim problēmas derīgumu un nopietnību. Ja vajadzēs vairāk informācijas, varam uzdot papildu jautājumus.

3

Novēršana

Apstiprinātu ievainojamību gadījumā mēs centīsimies to novērst pēc iespējas ātrāk, prioritizējot pēc nopietnības. Mēs informēsim jūs par progresu.

4

Atklāšana

Kad problēma būs novērsta, mēs labprāt koordinēsim publisku atklāšanu ar jums, ja vēlaties. Lūdzam dot mums saprātīgu laiku novēršanai pirms jebkādu detaļu publicēšanas.

Mūsu saistības

Ja ziņojat par ievainojamību labā ticībā un saskaņā ar šo politiku, mēs apņemamies:

  • Neuzsākt tiesiskas darbības pret jums saistībā ar jūsu pētījumu
  • Apstrādāt jūsu ziņojumu konfidenciāli un neizpaust jūsu personas datus bez jūsu piekrišanas
  • Informēt jūs par problēmas statusu
  • Ja vēlaties, minēt jūs kā atklājēju, ja problēma tiek apstiprināta
  • Savlaicīgi novērst apstiprinātas ievainojamības

Savukārt mēs lūdzam: nepiekļūt, nemainīt un nedzēst datus, kas nav jūsu; netraucēt vietnes pieejamību; un neveikt testēšanu ar citu lietotāju kontiem vai datiem.

Kontakti

Vispārīgiem jautājumiem par šo politiku, kas nav ievainojamību ziņojumi, izmantojiet kontaktlapu. Ne-drošības kļūdu ziņojumiem izmantojiet ziņot par problēmu lapu.