Sicherheitsrichtlinie

Kontakt: https://github.com/Cap-go/capgo/security/advisories/new
Kanonisches: https://capgo.app/security.txt

Bei Capgo legen wir die Sicherheit unserer Systeme auf jeden Fall an erste Stelle. Dennoch können, trotz aller Anstrengungen, noch immer Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, möchten wir davon wissen, damit wir schnellstmöglich Schritte unternehmen können, um sie zu beheben. Wir bitten Sie, uns bei der besseren Abschirmung unserer Kunden und unserer Systeme zu helfen.

Vulnerabilitäten außerhalb des Rahmens:

• Klickjacking auf Seiten ohne sensitive Aktionen.
• Unauthentifizierte/Abmelde/Anmelde-CSRF.
• Angriffe, die einen Man-in-the-Middle (MITM) oder physischen Zugriff auf ein Gerät eines Benutzers erfordern.
• Angriffe, die soziale Ingenieurskunst erfordern.
• Jede Aktivität, die zu einer Störung unserer Dienstleistung führen könnte (DoS).
• Inhaltsersatz und Textinjektionsprobleme ohne Anzeige eines Angriffsszenarios/ohne die Möglichkeit, HTML/CSS zu ändern.
• Email-Ersatz
• Fehlende DNSSEC, CAA, CSP-Header
• Fehlende Secure- oder HTTP-only-Flag bei nicht-sensitive Cookies
• Totale Links
• Benutzerzählung
• SSRF- oder DNS-Spoofing-Berichte gegen Webhooks oder Website-Vorschau. Diese Funktionen laufen auf serverlosen Infrastruktur und können nicht verwendet werden, um private Capgo-Infrastruktur zu erreichen, daher sind sie in unserem Umfeld nicht ausnutzbar.

Bekannte Supabase Auth Einschränkungen

Einige Ergebnisse werden wiederholt gemeldet und mit dem Supabase Auth-Verhalten in Verbindung gebracht. Diese werden nur als Supabase-Seitenaufgaben behandelt, wenn sie in einem gemeinsamen Supabase-Demo-Projekt, das wie unseres konfiguriert ist, reproduziert werden können und wenn eine Änderung der Supabase-Konfiguration das Verhalten ohne Änderung der Capgo Sicherheitsregeln behebt. Wenn die Behebung eine Änderung der Capgo-besitzenen SQL, RPCs, RLS-Politiken, Funktionen oder Anwendungslogik erfordert, handelt es sich um eine Capgo-Aufgabe und sollte an uns gemeldet werden.

• Bei den Berichten müssen ein reproduzierbares Demo-Supabase-Projekt mit Schritten enthalten sein, das unsere Einstellungen und das Verhalten nachahmt.
• Bei den Berichten müssen die genauen Behebungswege enthalten sein: entweder die Supabase-Einstellung/ Konfigurationsänderung, die das Verhalten behebt, oder das Capgo-besitzene code/Konfigurationsobjekt, das geändert werden muss.
• Konto/E-Mail-Flüsse werden gegen die Supabase-Projekt-Einstellungen (z.B. ob die E-Mail-Verifizierung deaktiviert und der Capture-Flow verwendet wird) validiert.
• Passworts- und E-Mail/Passworts-Update-Flüsse können von den aktuellen Supabase-Auth-Sitzungen und -Wiederherstellungs-Einstellungen abhängen.
• Wenn ein Demo-Projekt einen konkreten Supabase-Seitenaufgaben-Behebungsprozess ohne Änderung der Capgo-Politik oder ein konkretes Capgo-besitzenes Defekt zeigt, wird es als handhabbar bewertet.

Testleitlinien:

• Führen Sie keine automatischen Scanner auf anderen Kundenprojekten aus. Die Durchführung automatischer Scanner kann für unsere Benutzer Kosten verursachen. Aggressiv konfigurierte Scanner könnten versehentlich Dienste stören, Schwachstellen ausnutzen, zu Systeminstabilitäten oder Sicherheitsverletzungen führen und die Nutzungsbedingungen unserer Auftragslieferanten verletzen. Unsere eigenen Sicherheitssysteme können nicht zwischen feindseligem Erkundung und weißer Hutforschung unterscheiden. Wenn Sie einen automatischen Scanner ausführen möchten, teilen Sie dies uns mit an security@capgo.app und führen Sie ihn nur auf Ihrem eigenen Capgo-Projekt aus. Attackieren Sie Projekte von anderen Kunden NICHT.
• Nutzen Sie die Entdeckte Schwachstelle oder das Problem nicht aus, zum Beispiel indem Sie mehr Daten als notwendig herunterladen, um die Schwachstelle zu demonstrieren, oder indem Sie oder andere Daten löschen oder ändern.

Richtlinien für Meldungen:

• Melden Sie Ihre Erkenntnisse über unsere GitHub Sicherheitsanzeige:: https://github.com/Cap-go/capgo/security/advisories/new
• Bieten Sie ausreichend Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können.

Richtlinien für Offenlegung:

• Um unsere Kunden zu schützen, offenbaren Sie das Problem nicht anderen, bevor wir es erforscht, behoben und unseren betroffenen Kunden informiert haben.
• Wenn Sie Ihre Forschung über Capgo an einer Konferenz, in einem Blog oder einem anderen öffentlichen Forum öffentlich teilen möchten, sollten Sie uns einen Entwurf für die Überprüfung und Genehmigung mindestens 30 Tage vor der Veröffentlichungsdatum zukommen lassen. Beachten Sie bitte, dass folgende nicht enthalten sein sollten:
  • Daten zu jedem Capgo Kundenprojekt
  • Capgo Kunden-Daten
  • Informationen über Capgo Mitarbeiter, Auftragnehmer oder Partner

Was wir versprechen:

• Wir werden Ihre Meldung innerhalb von 7 Werktagen beantworten und unsere Bewertung der Meldung sowie einen erwarteten Lösungszeitpunkt mitteilen.
• Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf die Meldung einleiten.
• Wir werden Ihre Meldung mit strenger Vertraulichkeit behandeln und Ihre persönlichen Daten ohne Ihre Zustimmung nicht an Dritte weitergeben.
• Wir werden Sie über den Fortschritt bei der Lösung des Problems informieren.
• In der öffentlichen Information über das Problem, das gemeldet wurde, werden wir Ihren Namen als Entdecker des Problems nennen (sofern Sie dies nicht anders wünschen).

Wir streben danach, alle Probleme so schnell wie möglich zu lösen und möchten einen aktiven Beitrag zur endgültigen Veröffentlichung des Problems nach seiner Lösung leisten.