Безопасность

Как мы защищаем сервис и как сообщить об уязвимости

Защита аккаунтов

Пароли — хранятся в хешированном виде (bcrypt), никогда не в открытом виде
Двухфакторная аутентификация — TOTP через любое приложение-аутентификатор, 6 backup-кодов при настройке
Сессии — httpOnly, SameSite=Lax, Secure (в продакшене), 7-дневный TTL
API-ключи — формат tessera_..., регенерация в один клик, ограничение по тарифу

Защита данных

TLS 1.3 — все соединения зашифрованы
Заголовки безопасности — X-Content-Type-Options, X-Frame-Options, Referrer-Policy
CORS — доступ только с разрешённых доменов
Платёжные данные — реквизиты карт не хранятся на наших серверах, обработка через сертифицированных провайдеров

Защита API

Аутентификация — Bearer token для всех /v1/* запросов
Рейт-лимитинг — многоуровневая защита от злоупотреблений (по IP, по ключу, глобальная)
Валидация — все входящие данные проверяются и санитизируются
Логирование — аудит-лог действий администраторов

Ответственное раскрытие

Мы ценим помощь исследователей безопасности. Если вы нашли уязвимость, сообщите нам — мы отнесёмся к этому серьёзно.

Процесс

Отправьте отчёт на security@tessera.lol

Опишите уязвимость, шаги воспроизведения и возможное влияние

Подтверждение в течение 48 часов

Мы подтвердим получение и начнём анализ

Исправление в приоритетном порядке

Критические уязвимости исправляются в течение 72 часов

Уведомление об исправлении

Мы сообщим, когда уязвимость устранена

Правила

Не раскрывайте уязвимость публично до её исправления
Не получайте доступ к данным других пользователей (достаточно доказательства концепции)
Не используйте методы, нарушающие доступность сервиса
Тестируйте только на собственном аккаунте

Вознаграждение

За подтверждённые уязвимости мы предлагаем: публичное упоминание (по желанию), бесплатную подписку Pro на срок от 1 до 12 месяцев в зависимости от серьёзности.

Сообщить об уязвимости

security@tessera.lol

PGP-ключ доступен по запросу