Saltare al contenuto principale
Capgo logo

Politica di sicurezza

Contattaci: https://github.com/Cap-go/capgo/security/advisories/new
Canonical: https://capgo.app/security.txt

Al Capgo, consideriamo la sicurezza dei nostri sistemi una priorità assoluta. Tuttavia, nonostante l'impegno che mettiamo nella sicurezza dei sistemi, possono ancora esserci vulnerabilità presenti.

Se scoprite una vulnerabilità, ci piacerebbe saperne di più in modo da poterla affrontare il più velocemente possibile. Ci piacerebbe chiedervi di aiutarci a proteggere meglio i nostri clienti e i nostri sistemi.

Vulnerabilità fuori scena:

  • Clickjacking su pagine senza azioni sensibili.
  • CSRF non autenticati/disconnesi/connessi.
  • Attacchi che richiedono un attacco MITM o l'accesso fisico a un dispositivo dell'utente.
  • Attacchi che richiedono ingegneria sociale.
  • Qualsiasi attività che potrebbe portare alla interruzione del nostro servizio (DoS).
  • Problemi di spoofing del contenuto e di iniezione di testo senza visualizzare un vettore di attacco/senza poter modificare HTML/CSS.
  • Spoofing di posta elettronica
  • Mancanza di intestazioni DNSSEC, CAA, CSP
  • Mancanza del flag di sicurezza o HTTP solo su cookie non sensibili
  • Collegamenti morti
  • Enumerazione dell'utente
  • Rapporti di SSRF o spoofing DNS contro webhook o anteprima del sito web. Queste funzionalità eseguono un'infrastruttura serverless e non possono essere utilizzate per raggiungere l'infrastruttura Capgo privata, quindi non sono esploitabili nel nostro ambiente.

Limitazioni di Autenticazione Supabase Conosciute

Alcune scoperte vengono riportate ripetutamente e sono legate al comportamento di Autenticazione Supabase. Queste vengono trattate come problemi del lato Supabase solo quando possono essere riprodotti in un progetto demo Supabase condiviso configurato come il nostro e quando un cambio di configurazione Supabase risolve il comportamento senza modificare le regole di sicurezza Capgo. Se il fix richiede modificare SQL, RPC, politiche RLS, funzioni o logica dell'app di Capgo, questo è un problema del lato Capgo e dovrebbe essere segnalato a noi.

  • I rapporti devono includere un progetto demo Supabase riproducibile, con passaggi, che corrisponde alle nostre impostazioni e dimostra il comportamento.
  • I rapporti devono includere il percorso di fix esatto: o il cambio di impostazione/configurazione Supabase che risolve il comportamento, o l'oggetto Capgo-di proprietà code/config che deve cambiare.
  • I flussi di account/email vengono validati contro le impostazioni del progetto Supabase (ad esempio, se la verifica email è disabilitata e si utilizza il flusso di cattura).
  • I flussi di aggiornamento password e email/password possono dipendere dalle impostazioni attuali della sessione di Autenticazione Supabase e dalle impostazioni di re-verification.
  • Se un progetto demo dimostra un fix concreto del lato Supabase senza cambio di politica Capgo, o mostra un difetto concreto di proprietà Capgo, lo esaminiamo come azione.

Linee guida per i test:

  • Non eseguire scanner automatici su altri progetti dei clienti. Eseguire scanner automatici può aumentare i costi per i nostri utenti. Scanner configurati aggressivamente potrebbero disattivare involontariamente i servizi, sfruttare le vulnerabilità, portare instabilità al sistema o violare i termini di servizio dei nostri fornitori upstream. I nostri sistemi di sicurezza non potranno distinguere la ricognizione ostile dalla ricerca whitehat. Se desiderate eseguire uno scanner automatico, notificatene a security@capgo.app e eseguitelo solo sul vostro progetto Capgo. Non attaccare i progetti degli altri clienti.
  • Non approfittate della vulnerabilità o del problema che avete scoperto, ad esempio scaricando più dati del necessario per dimostrare la vulnerabilità o cancellando o modificando i dati degli altri utenti.

Linee guida per la segnalazione:

Linee guida per la divulgazione:

  • Per proteggere i nostri clienti, non rivelate il problema ad altri fino a quando non abbiamo condotto le nostre ricerche, risolto il problema e informato i nostri clienti interessati.
  • Se desiderate condividere la vostra ricerca su Capgo in una conferenza, in un blog o in qualsiasi altro forum pubblico, condividete una bozza con noi per la revisione e l'approvazione almeno 30 giorni prima della data di pubblicazione. Notate che i seguenti elementi non dovrebbero essere inclusi:
    • Dati relativi a eventuali progetti di Capgo clienti
    • Dati dei Capgo clienti
    • Informazioni sui dipendenti, i collaboratori o i partner di Capgo

Cosa promettiamo:

  • Risponderemo alla tua segnalazione entro 7 giorni lavorativi con la nostra valutazione della segnalazione e una data prevista di risoluzione.
  • Se hai seguito le istruzioni sopra, non intraprenderemo alcuna azione legale nei tuoi confronti in merito alla segnalazione.
  • Tratteremo la tua segnalazione con la massima riservatezza e non condivideremo i tuoi dati personali con terzi senza la tua autorizzazione.
  • Ti informeremo sul progresso verso la risoluzione del problema.
  • Nella documentazione pubblica relativa al problema segnalato, darai il tuo nome come scopritore del problema (a meno che tu non desideri diversamente).

Ci impegniamo a risolvere tutti i problemi il più rapidamente possibile e vorremmo svolgere un ruolo attivo nella pubblicazione finale del problema dopo la sua risoluzione.