Безопасность
Последнее обновление: March 15, 2026
Безопасность этого сайта и конфиденциальность его пользователей важны для нас. Мы приветствуем ответственное раскрытие (responsible disclosure) уязвимостей безопасности от исследователей, разработчиков и представителей общественности.
На этой странице описана наша политика responsible disclosure — как сообщить об уязвимости, что входит в область действия (scope) и как мы будем реагировать. Просим соблюдать эти правила при исследовании и сообщении о потенциальных проблемах безопасности.
Сообщить об уязвимости
Если вы обнаружили уязвимость безопасности, пожалуйста, сообщите нам об этом по email. Не раскрывайте уязвимость публично, пока у нас не будет разумной возможности расследовать и устранить проблему.
contact@freeonlinenosignup.comПожалуйста, укажите в теме письма "Security Vulnerability Report" и добавьте как можно больше информации:
- Чёткое описание уязвимости и её потенциального влияния
- Затронутый URL, endpoint или компонент
- Пошаговые инструкции по воспроизведению
- Proof‑of‑concept код, скриншоты или примеры request/response (если есть)
- Ваше имя или ник, если вы хотите, чтобы вас упомянули (необязательно)
Scope
Следующее считается входящим в scope ответственного раскрытия:
- Cross-site scripting (XSS)
- Cross-site request forgery (CSRF)
- Уязвимости server-side injection (SQL injection, command injection и т. д.)
- Обход аутентификации или авторизации
- Раскрытие чувствительных данных или утечка информации
- Ошибки конфигурации безопасности, которые могут быть использованы злоумышленником
- Open redirect, который может использоваться для фишинга
- Insecure direct object references
- Remote code execution
Вне scope
Следующее считается вне scope и не будет принято как корректное сообщение об уязвимости:
- Атаки или тестирование типа denial of service (DoS или DDoS)
- Brute force атаки на любую часть сайта
- Автоматизированное сканирование без предварительного письменного разрешения
- Social engineering или фишинг, направленные на наших пользователей или сотрудников
- Проблемы физической безопасности
- Уязвимости в сторонних сервисах, библиотеках или инфраструктуре, которые не находятся под нашим прямым контролем — сообщайте о них соответствующему поставщику
- Отсутствие security headers, которое не демонстрирует реальную, эксплуатируемую уязвимость в данном контексте
- Теоретические уязвимости без работающего proof of concept или без продемонстрированного влияния
- Проблемы, которые требуют, чтобы пользователь уже скомпрометировал своё устройство или браузер
Чего ожидать
После отправки отчёта об уязвимости вы можете ожидать от нас следующее:
Подтверждение
Мы подтвердим получение вашего сообщения в течение 3 рабочих дней.
Проверка
Мы рассмотрим сообщение и оценим валидность и серьёзность проблемы. При необходимости мы можем уточнить детали.
Исправление
Для подтверждённых уязвимостей мы будем устранять проблему как можно быстрее, расставляя приоритеты по уровню риска. Мы будем держать вас в курсе.
Публичное раскрытие
После исправления мы готовы согласовать публичное раскрытие с вами, если вы этого хотите. Просим дать нам разумный срок на устранение до публикации деталей.
Наши обязательства
Если вы сообщаете об уязвимости добросовестно и в соответствии с этой политикой, мы обязуемся:
- Не предпринимать юридических действий против вас в связи с вашим исследованием
- Рассматривать ваше сообщение конфиденциально и не раскрывать ваши персональные данные без согласия
- Информировать вас о статусе
- Указать вас в качестве автора находки, если вы этого хотите и если проблема подтверждена
- Работать над своевременным устранением подтверждённых уязвимостей
Взамен просим не получать доступ, не изменять и не удалять данные, которые вам не принадлежат; не нарушать доступность сервиса; и не проводить тестирование на аккаунтах или данных других пользователей.
Контакты
По общим вопросам об этой политике (не связанным с отчётами об уязвимостях) используйте страницу контактов. Для несекьюрити‑багов используйте страницу сообщить о проблеме.