Sicherheitsrichtlinie

Kontakt: https://github.com/Cap-go/capgo/security/advisories/new
Kanonische URL: https://capgo.app/security.txt

At Capgo, priorisieren wir die Sicherheit unserer Systeme. Dennoch können, trotz aller Anstrengungen im Bereich der System-Sicherheit, noch immer Schwachstellen vorhanden sein.

Wenn Sie eine Schwachstelle entdecken, möchten wir davon wissen, damit wir Schritte unternehmen können, um sie so schnell wie möglich anzugehen. Wir bitten Sie, uns bei der besseren Abschirmung unserer Kunden und unserer Systeme zu helfen.

Vulnerabilitäten, die außerhalb des Rahmens liegen:

• Klickjacking auf Seiten ohne sensitive Aktionen.
• Unauthentifizierte Logout-Login CSRF.
• Angriffe, die ein Man-in-the-Middle- oder physisches Zugriff auf ein Gerät eines Benutzers erfordern.
• Angriffe, die soziale Ingenieurskunst erfordern.
• Jede Aktivität, die zu einer Störung unserer Dienstleistung (DoS) führen könnte.
• Inhaltsfälschung und Textinjektionsprobleme ohne Anzeige eines Angriffsszenarios/ohne die Möglichkeit, HTML/CSS zu modifizieren.
• E-Mail-Fälschung
• Fehlende DNSSEC, CAA, CSP-Header
• Fehlende Secure- oder HTTP-only-Flag bei nicht-sensitive Cookies
• Tote Links
• Benutzerzählung

Bekannte Supabase Auth Einschränkungen

Einige Befunde werden wiederholt gemeldet und mit dem Supabase Auth-Verhalten in Verbindung gebracht. Diese werden nur als Supabase-Seitenausfall behandelt, wenn sie in einem gemeinsamen Supabase-Demo-Projekt, das wie unseres konfiguriert ist, reproduziert werden können und wenn eine Änderung der Supabase-Konfiguration das Verhalten ohne Änderung der Capgo Sicherheitsregeln behebt. Wenn der Fix eine Änderung der Capgo-besitzenen SQL, RPCs, RLS-Politiken, Funktionen oder Anwendungslogik erfordert, handelt es sich um ein Capgo-Problem und sollte an uns gemeldet werden.

• Die Berichte müssen eine reproduzierbare Demo-Supabase-Projekt mit Schritten enthalten, das unsere Einstellungen und das Verhalten nachahmt.
• Die Berichte müssen den genauen Fixpfad enthalten: entweder die Supabase-Einstellung/Konfigurationsänderung, die das Verhalten behebt, oder das Capgo-besitzene code/Konfigurationsobjekt, das geändert werden muss.
• Konto/E-Mail-Flüsse werden gegen die Supabase-Projekt-Einstellungen (z. B. ob die E-Mail-Verifizierung deaktiviert und der Capture-Flow verwendet wird) validiert.
• Passworts- und E-Mail/Passworts-Update-Flüsse können von der aktuellen Supabase-Auth-Sitzung und den Wiederholungs-Einstellungen abhängen.
• Wenn ein Demo-Projekt einen konkreten Supabase-Seitenausfall mit keiner Änderung der Capgo-Politik belegt oder einen konkreten Capgo-besitzenen Defekt zeigt, wird es als handhabbar bewertet.

Testleitfaden:

• Bitte führen Sie keine automatischen Scanner auf anderen Kundenprojekten aus. Die Durchführung automatischer Scanner kann für unsere Benutzer Kosten verursachen. Aggressiv konfigurierte Scanner können Dienste stören, Schwachstellen ausnutzen, zu Systeminstabilitäten oder Sicherheitsverletzungen führen und die Nutzungsbedingungen unserer upstream-Anbieter verletzen. Unsere eigenen Sicherheitssysteme können nicht zwischen feindlichem Erkundung und weißer Hattenschutzforschung unterscheiden. Wenn Sie einen automatischen Scanner ausführen möchten, informieren Sie uns bitte unter security@capgo.app und führen ihn nur auf Ihrem eigenen Capgo-Projekt aus. Projekte anderer Kunden nicht angreifen.
• Nutzen Sie die Entdeckte Schwachstelle oder das Problem nicht aus, indem Sie zum Beispiel mehr Daten als notwendig herunterladen, um die Schwachstelle zu demonstrieren, oder die Daten anderer Personen löschen oder ändern.

Meldungshinweise:

• Melden Sie Ihre Erkenntnisse über unsere GitHub Sicherheitsanzeige:: https://github.com/Cap-go/capgo/security/advisories/new
• Bieten Sie bitte ausreichend Informationen an, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können.

Offenlegungshinweise:

• Um unsere Kunden zu schützen, sollten Sie das Problem nicht vor der Erforschung, Abhilfe und Information unserer betroffenen Kunden anderen offenbaren.
• Wenn Sie Ihre Forschung über Capgo an einer Konferenz, in einem Blog oder einem anderen öffentlichen Forum öffentlich teilen möchten, sollten Sie uns einen Entwurf mindestens 30 Tage vor der Veröffentlichungsdatum zukommen lassen, um ihn zu überprüfen und zu genehmigen. Bitte beachten Sie, dass folgende nicht enthalten sein sollten:
  • Daten zu jedem Capgo Kundenprojekt
  • Capgo Kunden-Daten
  • Informationen über Capgo Mitarbeiter, Auftragnehmer oder Partner

Was wir versprechen:

• Wir werden Ihre Meldung innerhalb von 7 Geschäftstagen beantworten und unsere Bewertung der Meldung sowie einen erwarteten Lösungszeitpunkt mitteilen.
• Wenn Sie die oben genannten Anweisungen befolgt haben, werden wir keine rechtlichen Schritte gegen Sie in Bezug auf die Meldung einleiten.
• Wir werden Ihre Meldung mit strenger Vertraulichkeit behandeln und Ihre persönlichen Daten ohne Ihre Zustimmung nicht an Dritte weitergeben.
• Wir werden Sie über den Fortschritt bei der Lösung des Problems informieren.
• In der öffentlichen Information über das Problem, das Sie gemeldet haben, werden wir Ihren Namen als Entdecker des Problems nennen (sofern Sie dies nicht anders wünschen).

Wir streben danach, alle Probleme so schnell wie möglich zu lösen und möchten einen aktiven Beitrag zur endgültigen Veröffentlichung des Problems nach seiner Lösung leisten.