سجلّ الأمن

سجلّ الأمن.

ننشر النتائج بعد إصلاحها والتحقّق منها — ملخّص موجز، لا وصفة استغلال أبدًا. وأوقات الإصلاح تقف بجوار كل مدخل.

المدخلات

ما الذي حدث.

15 يوليو 2026

مراجعة داخلية قبل إطلاق البرنامج

في 15 يوليو 2026 بدأنا مراجعة أمنية داخلية لـ CreateYourVPN. الإصلاحات التي أكملناها وأعدنا التحقق منها منشورة أدناه؛ وستتبعها إصلاحات أخرى مع نشرها وتأكيدها.

فريق CreateYourVPN
15 يوليو 2026

أُضيفت حماية ضد إعداد غير آمن للوصول عبر النطاقات (cross-origin)

لم يكن إعداد production الحالي يسمح بمصادر عشوائية، لكن الشيفرة كانت تتيح تركيبة خطيرة من المعاملات في حال أخطأ المشغّل في الإعداد. أصبحت هذه التركيبة تُرفَض الآن عند بدء التشغيل ومغطّاة باختبار آلي.

فريق CreateYourVPN
15 يوليو 2026

تقليص السطح العام لواجهة production API

كانت الوثائق التقنية التفاعلية لواجهة API متاحة دون مصادقة. لم يكن ذلك يتيح الوصول إلى بيانات محمية، لكنه كان يسهّل دراسة البنية الداخلية لواجهة API. في production أصبحت الوثائق الآن معطّلة، مع بقائها متاحة في بيئة معزولة لأغراض التطوير.

فريق CreateYourVPN
15 يوليو 2026

فصل مفاتيح التشفير الخاصة بالمنصة بحسب الغرض

كشفت مراجعة داخلية أن سرًّا واحدًا كان يُستخدم لمهمّتين تشفيريتين مختلفتين. لم يُنشئ ذلك تجاوزًا مباشرًا للحماية، لكنه وسّع نطاق تأثير اختراق المفتاح. جرى فصل الغرضين، ويجري الآن تدوير كلٍّ منهما بشكل مستقل.

فريق CreateYourVPN
15 يوليو 2026

ضمان محو مفتاح الإدارة بعد حذف الخادم

كان محو مفتاح الإدارة المشفَّر يجري بعد عمليات شبكية في الخلفية، وقد يتعذّر تكراره إذا فشلت تلك العمليات. فصلنا محو المفتاح عن سلسلة العمليات الشبكية وأضفنا إعادة محاولة مضمونة. وسيناريوهات الخادم غير المتاح وانقطاع العملية مغطّاة باختبارات.

فريق CreateYourVPN
15 يوليو 2026

إزالة مسار مصادقة غير مُستخدَم في واجهة API الخاصة بالشركاء

كانت واجهة API تدعم مسار مصادقة إضافيًا يعتمد على ملفات cookie لم تكن بنية server-side الحالية بحاجة إليه. لم يُكتشَف أي هجوم عبر المواقع في production، لكن المسار الإضافي كان يوسّع سطح الأخطاء المستقبلية. تعتمد واجهة API الآن طريقة مصادقة واحدة محدَّدة صراحةً، ومغطّاة باختبارات سلبية.

فريق CreateYourVPN
كيف تقرأ السجلّ

ما الذي يُدرَج هنا.

ننشر

ملخّصات وجداول زمنية

جوهر النتيجة، وفئة الثغرة، وتاريخ الإبلاغ وتاريخ الإصلاح. وإن دحضت نتيجةٌ ادّعاء SR — تصحيح علني للتقرير.

لا ننشر

وصفات الاستغلال

تعليمات خطوة بخطوة، وشيفرة PoC وتفاصيل قد تساعد على مهاجمة خوادم أخرى قبل أن يُحدِّث الجميع.

وجدت شيئًا؟

راسِلنا بإثبات مفهوم قابل لإعادة الإنتاج. نردّ خلال 72 ساعة ونُجري الفرز داخليًا.

security@createyourvpn.com/.well-known/security.txt · 90 يومًا من الصمت · الملاذ الآمن