Usalama

Ilisasishwa mwisho: Machi 15, 2026

Usalama wa tovuti hii na faragha ya watumiaji wake ni muhimu kwetu. Tunakaribisha kufichuliwa kwa uwajibikaji kuhusu udhaifu wa usalama kutoka kwa watafiti wa usalama, wasanidi programu, na umma.

Ukurasa huu unaeleza sera yetu ya uwajibikaji wa kufichua — jinsi ya kuripoti udhaifu, nini kilicho ndani ya wigo, na jinsi tutakavyojibu. Tunaomba ufuate miongozo hii unapochunguza na kuripoti masuala ya usalama yanayoweza kutokea.

Kuripoti udhaifu

Ikiwa umebaini udhaifu wa usalama, tafadhali tuandikie barua pepe kuuripoti. Usifichue udhaifu huo hadharani hadi tutakapokuwa na fursa ya kutosha kuchunguza na kuushughulikia.

contact@freeonlinenosignup.com

Tafadhali jumuisha "Security Vulnerability Report" kwenye mada ya barua pepe na utoe taarifa nyingi kadri uwezavyo kati ya hizi:

  • Maelezo ya wazi ya udhaifu na athari zake zinazowezekana
  • URL, endpoint, au sehemu (component) iliyoathiriwa
  • Maelekezo ya hatua kwa hatua ya kurudia tatizo
  • Msimbo wa proof-of-concept, picha za skrini, au mifano ya request/response (ikiwa ipo)
  • Jina lako au handle ikiwa unataka kutajwa (si lazima)

Wigo

Yafuatayo yanachukuliwa kuwa ndani ya wigo wa uwajibikaji wa kufichua:

  • Cross-site scripting (XSS)
  • Cross-site request forgery (CSRF)
  • Udhaifu wa server-side injection (SQL injection, command injection, n.k.)
  • Kupita (bypass) uthibitishaji au uidhinishaji
  • Kufichuliwa kwa data nyeti au uvujaji wa taarifa
  • Mipangilio mibaya ya usalama inayoweza kutumiwa na mshambuliaji
  • Open redirects zinazoweza kutumiwa kwenye mashambulizi ya phishing
  • Insecure direct object references (IDOR)
  • Utekelezaji wa msimbo kwa mbali (remote code execution)

Nje ya wigo

Yafuatayo yako nje ya wigo na hayatakubaliwa kama ripoti halali za udhaifu:

  • Mashambulizi au majaribio ya denial of service (DoS au DDoS)
  • Mashambulizi ya brute force dhidi ya sehemu yoyote ya tovuti
  • Uchanganuzi wa kiotomatiki bila ruhusa ya maandishi kabla
  • Social engineering au phishing inayolenga watumiaji au wafanyakazi wetu
  • Masuala ya usalama wa kimwili
  • Udhaifu kwenye huduma, maktaba, au miundombinu ya wahusika wa tatu ambayo haiko chini ya udhibiti wetu wa moja kwa moja — tafadhali ripoti kwa muuzaji husika
  • Security headers zinazokosekana zisizoonyesha udhaifu unaoweza kuonyeshwa na kutumiwa katika muktadha huu
  • Udhaifu wa kinadharia bila proof of concept inayofanya kazi au athari iliyoonyeshwa
  • Masuala yanayohitaji mtumiaji tayari awe amehatarisha kifaa au kivinjari chake mwenyewe

Nini cha kutarajia

Unapotuma ripoti ya udhaifu, hiki ndicho unachoweza kutarajia kutoka kwetu:

1

Uthibitisho wa kupokea

Tutathibitisha kupokea ripoti yako ndani ya siku 3 za kazi.

2

Uchunguzi

Tutachunguza ripoti na kutathmini uhalali na ukali wa tatizo. Tunaweza kukuuliza maswali ikiwa tunahitaji taarifa zaidi.

3

Utatuzi

Kwa udhaifu uliothibitishwa, tutafanya kazi kuutatua haraka iwezekanavyo, tukiweka vipaumbele kulingana na ukali. Tutakuarifu kuhusu maendeleo yetu.

4

Kufichua

Baada ya tatizo kutatuliwa, tutafurahi kuratibu kufichua hadharani pamoja nawe ikiwa utataka. Tunaomba utupe muda wa kutosha wa kurekebisha kabla ya kuchapisha maelezo.

Ahadi zetu

Unaporipoti udhaifu kwa nia njema na kwa kuzingatia sera hii, tunaahidi:

  • Kutokuchukua hatua za kisheria dhidi yako kuhusiana na utafiti wako
  • Kuweka ripoti yako kwa siri na kutoshiriki taarifa zako binafsi bila idhini yako
  • Kukuarifu kuhusu hali ya tatizo
  • Kukutaja kwa ugunduzi ikiwa utataka na ikiwa tatizo litathibitishwa
  • Kufanya kazi kushughulikia udhaifu uliothibitishwa kwa wakati

Kwa upande wako, tunaomba usifike, usibadilishe, au usifute data isiyo yako; usivuruge upatikanaji wa tovuti; na usifanye majaribio kwenye akaunti au data za watumiaji wengine.

Mawasiliano

Kwa maswali ya jumla kuhusu sera hii ambayo si ripoti za udhaifu, tumia ukurasa wa mawasiliano. Kwa ripoti za hitilafu zisizo za usalama, tumia ukurasa wa ripoti tatizo.