ByteHeavy
ByteHeavy
امنیت و اعتماد
بیشتر آژانسها میگن «امنیت سطح بانکی» و همینجا تمومش میکنن. ما ترجیح میدیم جزئیات واقعی رو نشونتون بدیم — حتی بخشهایی که هنوز در حال ساختنه — چون یک وعده مبهم ارزشش کمتر از یک ادعای قابلبررسیه.

سیستم تیکت ما روی PostgreSQL با Row-Level Security فعال و اجباری اجرا میشه، متصل از طریق یک نقش اختصاصی اپلیکیشن که عمداً سوپریوزر نیست. یعنی قوانین کنترل دسترسی داخل خودِ دیتابیس زندگی میکنن، نه فقط توی کد اپلیکیشن. این رو مستقیم تست کردیم: یک session که به ایمیل یک مشتری محدوده، واقعاً نمیتونه تیکتهای مشتری دیگه رو بخونه، حتی روی همون اتصال و نقش دیتابیس. اگه یک باگ آینده توی کد اپلیکیشن سعی کنه داده اشتباه رو کوئری کنه، دیتابیس قبل از اجرای کوئری ردش میکنه — این جداسازی وابسته به این نیست که ما هر بار یادمون بمونه شرط WHERE درست رو بنویسیم.
هر پاسخی که سایت میده شامل Content-Security-Policy، HSTS، X-Frame-Options، X-Content-Type-Options و یک Permissions-Policy محدودکنندهست — دفاعهای استاندارد در برابر clickjacking، حملات MIME-sniffing، و بخشی از XSS. نسخه پروداکشن بدون source map منتشر میشه، پس ساختار دقیق کد منبع در اختیار کسی که DevTools رو باز میکنه قرار نمیگیره.
هر endpoint تیکت و تماس بر اساس IP محدود نرخ شده (rate-limited)، و شامل یک فیلد honeypot هست که برای کاربر واقعی نامرئیه ولی معمولاً باتها خودکار پرش میکنن — درخواستی که توی این تله بیفته، بهجای رد شدن، یک پاسخ موفقیتآمیز جعلی میگیره تا سوءاستفاده خودکار حتی متوجه بلاک شدنش هم نشه. تمام ورودی فرمها سمت سرور با یک schema سختگیرانه اعتبارسنجی میشه قبل از رسیدن به دیتابیس، مهم نیست فرانتاند چی رد کنه.
ما ادعا نمیکنیم قابلیتی وجود داره قبل از اینکه واقعاً وجود داشته باشه. احراز هویت دومرحلهای (TOTP با QR کد) و یک سرویس اختصاصی احراز هویت/session مبتنی بر Rust طراحی و برنامهریزی شدن، ولی هنوز توی پروداکشن اجرا نمیشن — الان، پیگیری تیکت از طریق تطبیق ایمیله، که یک مکانیزم راحتیه، نه یک ورود در حد پسورد. پیوست فایل روی تیکتها عمداً هنوز پشتیبانی نمیشه، دقیقاً چون هنوز لایه اسکن بدافزاری که میخوایم جلوش باشه رو نساختیم. ترجیح میدیم یک قابلیت دیر تحویل بدیم تا ناامن تحویلش بدیم.
اگه نمیتونید یک ادعای امنیتی رو تأیید کنید، اون یک تبلیغه. ما ترجیح میدیم بتونید.