تقرير الأمن · الإصدار 2 · 15 يوليو 2026

ادّعاءات قابلة للتحقّق.

هذه ليست صفحة تسويقية تقول «نحن آمنون»، بل مجموعة ادّعاءات قابلة للتحقّق (SR-N)، يمكنك الطعن في كل منها ضمن برنامج مكافآت اكتشاف الثغرات مقابل مكافأة.

01 · الوصول إلى خادمك

الوصول إلى خادمك

SR-1كلمة مرور root تُستخدَم مرة واحدة ولا تُخزَّن لدينا.مُتحقَّق منه+

كلمة المرور لازمة فقط لفتح أول اتصال SSH وتثبيت مستخدم خدمة. تُمرَّر كمصادقة SSH لاتصالنا — لا كوسيط سطر أوامر أو متغيّر بيئة. قاعدة بياناتنا لا تحتوي على حقل لها؛ لا تدخل بيئات تشغيل السكربتات ولا تُكتَب في السجلّات (أخطاء الاتصال تحتوي فقط على العنوان والمنفذ، لا كلمة المرور أبدًا). في الذاكرة تُمحى (على قدر المستطاع) بعد الاستخدام — وهذا دفاع في العمق، لا ضمان: قد تحتفظ Go بنسخ من القيمة في الكومة إلى حين جمع المهملات.

تحفّظ صادق: تظل هذه كلمة مرور root على خادمك. بعد التثبيت نُعطّل تسجيل الدخول بكلمة المرور وبـ root عبر SSH، لكننا لا نُغيّر كلمة المرور نفسها — غيّرها بنفسك إن شئت. عبارة «لا نُخزّنها» صحيحة؛ أما «لم تعد سرًّا» فليست كذلك.

SR-2بعد التثبيت، يُعطَّل تسجيل الدخول بكلمة المرور وبـ root عبر SSH.مُتحقَّق منه+

PasswordAuthentication no، PermitRootLogin no، ونُقِل SSH إلى منفذ غير قياسي (12011 افتراضيًا)، وفُعِّل fail2ban (حظر لمدة ساعة بعد 5 محاولات فاشلة)، وتسجيل الدخول بالمفتاح فقط. يُتحقَّق من المفتاح العام بصرامة قبل الاستخدام: تُرفَض المفاتيح التي تحتوي أسطرًا جديدة (حماية من دسّ مفاتيح إضافية في authorized_keys) والمفاتيح غير الصحيحة نحويًا.

الحماية من الإقفال الذاتي: لا يُغلَق المنفذ 22 إلى أن تؤكّد النواة (عبر ss) أن منفذ SSH الجديد يستمع فعليًا؛ ويُفحَص الإعداد بـ sshd -t وقاعدة sudo بـ visudo -cf، ويُتراجَع عن كليهما عند حدوث خطأ.

SR-3مفتاح الإدارة يُخزَّن بشكل مُشفَّر فقط.مُتحقَّق منه+

تعمل اللوحة لا بكلمة مرورك بل بمفتاح منفصل (ed25519) تُولّده بنفسها. الجزء الخاص يقبع في قاعدة البيانات مُشفَّرًا بـ AES-256-GCM. أما مفتاح التشفير (KEK) فيُخزَّن منفصلًا عن قاعدة البيانات — في متغيّر بيئة على الخادم — وهو في الإنتاج إلزامي (لا وجود لقيمة افتراضية غير آمنة: من دون KEK لن يبدأ نظام التشفير الفرعي أصلًا). التشفير نفسه يحمي الأسرار الثقيلة في قاعدة البيانات — كلمة مرور/رمز/JWT مسؤول Marzban، ومفاتيح Reality، ومفاتيح مزوّدي الدفع، وذاكرة اعتمادات الوكيل المؤقتة، وإعداد النسخ الاحتياطي.

التشفير لا يُخفي البيانات فحسب بل يوثّقها (وسم مصادقة GCM): يُكتشَف العبث بحقل مُشفَّر عند فكّ التشفير ويُرفَض. كل حقل يُشفَّر بـ nonce عشوائي جديد؛ وقيمة KEK لا تصل إلى السجلّات أبدًا — فقط مُعرّفها القصير.

بخصوص رموز الصلاحية: رمز الاشتراك /sub سرٌّ من نوع bearer. للبحث نُخزّن فقط SHA-256 الخاص به، بينما النسخة اللازمة لإعادة عرض رابط سبق إصداره تُحفَظ كنص مُشفَّر بـ AES-GCM. أما السجلات القديمة بنص صريح فتُرحَّل إلى الصيغة الجديدة، بنهج fail-closed، قبل بدء خادم HTTP. أما مُعرّف رابط webhook الدفع فيُخزَّن بنص صريح لكنه بذاته لا يوثّق حدثًا: تُتحقَّق الأصالة على حدة عبر توقيع HMAC.

SR-4المفتاح الخاص لا يصل إلى المتصفّح أبدًا.مُتحقَّق منه+

يُفكّ تشفير المفتاح على الخادم فقط، في الذاكرة؛ ولا تُرجعه واجهات API العادية أبدًا. السبيل الوحيد للحصول عليه هو دالة تصدير متعمَّدة («خذ مفتاحك»)، محميّة بتسجيل الدخول إضافةً إلى رمز لمرة واحدة عبر البريد (يُخزَّن الرمز كتجزئة HMAC فقط، ويُقارَن بزمن ثابت، وصلاحيته 10 دقائق، و5 محاولات). فالمفتاح يمكن استرجاعه عمدًا، لكنه لا «يتسرّب» عبر طلب عادي.

SR-5عند حذف خادم، يُمحى المفتاح من سجلّه بشكل متزامن.مُتحقَّق منه+

قبل أن تتغيّر حالة الخادم وقبل أي عمليات شبكة في الخلفية، تُصفَّر الحقول التي تحمل مفتاح الإدارة بشكل متزامن. وإن لم تؤكّد قاعدة البيانات المحو، تُرجِع العملية خطأً ويمكن إعادة المحاولة. يظل الحذف «ناعمًا»: يُحتفَظ بالصفّ وببيانات الخدمة غير السرّية. وهذا لا يعني محوًا فيزيائيًا لنسخ احتياطية أُنشئت بالفعل — فدورة حياتها تحكمها سياسة الاحتفاظ بالنسخ الاحتياطية.

SR-16واجهات API الشريك المُدقَّقة تقصر الوصول على مالك المورد.مُتحقَّق منه+

مسارات الشريك المُدقَّقة تُصرّح بناءً على partner_id، الذي يشتقّه الخادم من رمز الدخول المُوقَّع — لا مما أرسله العميل في المسار أو الجسم. قبل إرجاع أو تغيير أي شيء، يعيد النظام التحقّق من أن الخادم أو العنقود أو inbound أو المسار أو مستخدم VPN أو الدفعة المطلوبة تخصّ حسابك؛ واستعلامات قاعدة البيانات المقابلة مُقيَّدة بـ partner_id الخاص بك، والمخطّط (مفاتيح فريدة مركّبة إضافةً إلى مفاتيح أجنبية مركّبة) يرفض الروابط غير الصالحة بين الشركاء. العزل متعدّد الطبقات: التطبيق، وإعادة التحقّق في طبقة حالة الاستخدام، ومُرشِّح partner_id، والمخطّط.

تحفّظ صادق: هذا مُتحقَّق منه عبر تدقيق للشيفرة على طول مسار الطلب، لا عبر اختبار اختراق علني — لذا فإن SR-16، كسائرها، مفتوح للدحض في برنامج مكافآت الثغرات.

بصدق عن وصول اللوحة — إنه صلاحية إدارة كاملة، لا «محدود».ملاحظة صادقة+

لإعداد كل شيء آليًا (تثبيت Xray+Reality، وتطبيق الإعداد، وقراءة المقاييس) تملك اللوحة وصولًا إداريًا كاملًا على الخادم (بما يعادل root، عبر مستخدم خدمة يملك sudo بلا كلمة مرور). هذا ضروري للإدارة، ولا نسمّيه «محدودًا».

ما يخفّض الخطر: تُمرَّر الأسرار إلى الخادم عبر stdin الخاص بالعملية فقط (لا كوسائط أوامر — فهي غير مرئية في قائمة العمليات)؛ وبعد التثبيت الأولي، يتحقّق كل اتصال إدارة من مفتاح مضيف الخادم المُثبَّت — ويُرفَض تبديل الخادم «في المنتصف». وما تتحكّم به أنت: يقوم الوصول على مفتاح يمكنك إبطاله في أي وقت — بحذف الخادم (يُصفَّر المفتاح) أو ببساطة بحذف الـ VPS لدى مستضيفك (فيختفي كل شيء).

02 · بياناتك وخصوصيتك

بياناتك وخصوصيتك

SR-6مستخدمو VPN يعيشون على خادمك؛ ونحتفظ بحد أدنى من بيانات الخدمة الوصفية.مُتحقَّق منه+

حسابات VPN نفسها (VLESS/Reality) تُنشَأ وتعيش في Marzban على خادمك الرئيسي. مركزيًا نُخزّن فقط ما يلزم لإصدار رابط اشتراك: رمز اشتراك عشوائي ولقطة مُشفَّرة من اعتمادات الوكيل (ذاكرة مؤقتة؛ مصدر الحقيقة هو Marzban لديك). ليس لدينا أي سجلّ لحركة المرور أو عناوين IP أو زيارات المستخدمين.

إليك قائمة صادقة بالمواضع التي يمر فيها بريد المستخدم النهائي فعلًا عبر قاعدة بياناتنا المركزية: رسالة رمز تسجيل الدخول نرسلها نحن، لذا يمر العنوان عبر قائمة الإرسال (لأي تسجيل دخول إلى الواجهة، بما في ذلك المجاني)؛ وعند الدفع يصل بريد المشتري في webhook الدفع ويُدوَّن في سجل المدفوعات؛ وعند ربط Telegram يُحفَظ البريد في الملف الشخصي. هذه هي نقاط التماس الوحيدة — خدمية وبحكم الضرورة؛ ولا تمسّ حركة البيانات أو سلوك المستخدمين.

نحتفظ بهذه البيانات الخدمية فقط بالقدر اللازم ونمحوها تلقائيًا: يُزال البريد من قائمة الإرسال فور الإرسال، ويُزال محتوى حدث الدفع بعد معالجته، أما الأحداث التي تنتظر إعادة المحاولة فتُحفَظ حتى نافذة مدتها 90 يومًا. يمكنك حذف حسابك مع البيانات المرتبطة به بالتواصل مع الدعم (للتفاصيل، انظر الخطر 7). ونحن نكشف عن ذلك بصراحة بدلًا من إخفائه خلف صياغات غامضة.

SR-7لا نجمع سجلّات لحركة مرورك أو زياراتك، والخوادم لا تحتفظ بأي سجلّ زيارات.مُتحقَّق منه+

منصّة CreateYourVPN لا تتلقّى ولا تُخزّن معلومات عن المواقع التي تزورها أنت أو مستخدموك. مخطّط استقبال المقاييس مغلق: فهو لا يملك فيزيائيًا حقولًا لعناوين IP أو النطاقات أو الزيارات — فقط تجميعات (عدد المتصلين الفريد، إجمالي البايتات، CPU/RAM/الحِمل). كل عقدة تُصادِق برمز HMAC مرتبط بمُعرّفها الخاص ولا يمكنها كتابة مقاييس إلا لنفسها. موازِن الحمل على العقدة (HAProxy) يعمل كموجّه TCP حسب SNI ولا يفكّ تشفير حركة المرور. وعلى الخادم نفسه، تُحفَظ سجلّات النظام لمدة لا تتجاوز ساعة تقريبًا ولا تُمرَّر إلى syslog.

وراء مستوى المنصّة، لا تحتفظ الخوادم بسجلّ زيارات أيضًا: تسجيل وصول Xray مُعطَّل بالإجبار عند كل دفعة إعداد (تضبط المنصّة log.access على none)، لذا لا يُسجّل الوكيل الطرفي العناوين التي يتّصل بها المستخدمون. هذا مفروض في الشيفرة ومنشور على كامل الأسطول.

SR-8تحليلات الويب هي Google Analytics؛ لا مُتتبِّعات أخرى.مُتحقَّق منه+

لفهم كيفية استخدام الموقع واللوحة نستعمل Google Analytics (لافتة الكوكيز تُنبّه إلى جمع الكوكيز والإحصاءات؛ التفاصيل في سياسة الخصوصية). لا مُتتبِّعات خارجية أخرى: لا Sentry ولا PostHog ولا Mixpanel ولا بكسلات إعلانية (تحقّقنا بالبحث في الواجهتين). الخلفية لا تحتوي أي قياس عن بُعد من طرف ثالث إطلاقًا. أما متجر المستخدم النهائي فغير مشمول بأي تحليلات على الإطلاق — لا GA ولا مُتتبِّعات (قابل للتحقّق من مصادره).

تحفّظ: يتلقّى GA عنوان IP الخاص بك (على جانب Google) وعناوين صفحات اللوحة المعروضة؛ وروابط اللوحة تحتوي مُعرّف عنقود فقط، لا بريدًا إلكترونيًا.

SR-9المدفوعات خارجية — لا نتلقّى رقم البطاقة الكامل.مُتحقَّق منه+

الدفع وكل بيانات البطاقة تُعالَج على جانب المزوّد (Tribute / Lemon Squeezy). نتلقّى فقط webhook مُوقَّعًا (HMAC-SHA256، مقارنة بزمن ثابت، يُتحقَّق منه قبل تحليل الجسم وقبل أي كتابة لقاعدة البيانات: من دون معرفة السرّ، يفشل الحدث في التحقّق). لا نتلقّى رقم البطاقة الكامل (PAN) ولا CVV. إعادة تسليم الـ webhook نفسه (إعادة محاولات المزوّد) لا تسبّب منحًا مزدوجًا — فالأحداث تُزال منها التكرارات.

تحفّظ: قد يُضمِّن المزوّد بيانات وصفية للبطاقة (العلامة وآخر 4 أرقام) واسم الدافع وبريده في جسم الـ webhook. يحتاج العامل الجسم الأصلي إلى أن تكتمل المعالجة؛ وبعد المعالجة الناجحة يُحذَف مع تلميح البريد. أما الأحداث التي تنتظر إعادة محاولة أو مراجعة يدوية فتحتفظ بالجسم الأصلي فقط حتى نهاية نافذة الاحتفاظ (90 يومًا دون نشاط)، وبعدها تُمحى بيانات البطاقة الوصفية وبريد الدافع تلقائيًا. عبارة «لا يوجد رقم بطاقة كامل» صحيحة، لكن ذلك خاصية للمزوّدين (نحن لا نُرشّح الجسم بأنفسنا)؛ أما «لا نرى شيئًا عن البطاقة إطلاقًا» فليست كذلك.

ما نُخزّنه عنك (الشريك)، بصدق.ملاحظة صادقة+

البريد الإلكتروني (لازم لتسجيل الدخول)، ووقت آخر تسجيل دخول، ووضع الواجهة؛ ولأجل الفوترة — الرصيد و Telegram (لعمليات الشحن). عنوان IP الخاص بالشريك لا يُخزَّن في قاعدة البيانات، ولا نحتفظ بأي سجلّ نقرات أو إجراءات في اللوحة (عدا سجلّ وصول قصير عند الأخطاء).

03 · تحصين الخادم

تحصين الخادم

SR-10جدار الحماية يرفض كل شيء عدا ما هو ضروري.مُتحقَّق منه+

جدار الحماية يرفض الوارد افتراضيًا. المفتوح للخارج: 443 (VPN، Xray+Reality)، وSSH على منفذ غير قياسي (12011 افتراضيًا)، و — على الخادم الرئيسي — منفذ لوحة مسؤول Marzban، لعناوين IP الخاصة بمستوى التحكّم فقط. المنفذ 80 يُفتَح على حدة فقط في وضع Let's Encrypt لأجل HTTP-01. والمنفذ 22 يُغلَق بعد نقل SSH.

منافذ إدارة العقدة مفتوحة فقط لعنوان IP الخاص بالخادم الرئيسي، لا للخارج (فشل هذا التقييد يُجهض التثبيت). وإن لم يُفعَّل جدار الحماية، يفشل التثبيت. صدى ICMP مقيَّد فقط لـ IPv4؛ ولا نَعِد بأن الخادم «غير مرئي»، ويُحتفَظ بـ ICMP الخاص بـ IPv6 كي يعمل IPv6 على نحو صحيح.

SR-11تحديثات أمنية آلية.مُتحقَّق منه+

الترقيات غير المراقَبة تُثبّت تحديثات حِزَم الأمان آليًا. تحفّظ: أُوقفت إعادة التشغيل الآلية عمدًا (كي لا تُعاد نواة غير مُتحقَّق منها من تلقاء نفسها) — ما يعني أن الإصلاحات التي تتطلّب إعادة تشغيل (النواة، وأحيانًا OpenSSH) لا تُطبَّق إلا بعد إعادة تشغيل يدوية أو مجدوَلة. عبارة «الترقيع الآلي» صحيحة لفضاء المستخدم، لا لِما يتطلّب إعادة تشغيل.

بصدق عن «الخفاء» — لا ندّعيه.ملاحظة صادقة+

لا ندّعي أن الخادم «غير مرئي» أو «لا يمكن مسحه». المنفذ 443 مفتوح ويردّ على اتصال TCP كأي خادم ويب. أما خاصية «عند اتصال غير صحيح يبدو كموقع عادي لا صلة له» فيوفّرها بروتوكول Reality داخل Xray — وهو مكوّن منفصل لا نحوّله إلى مطلق.

04 · المنصّة (لوحة التحكّم)

المنصّة (لوحة التحكّم)

SR-12تسجيل الدخول إلى حساب CreateYourVPN من دون كلمة مرور.مُتحقَّق منه+

تسجيل دخول الشريك يتم برمز من 6 أرقام لمرة واحدة يُرسَل إلى البريد. لا كلمة مرور للحساب. لا ينطبق هذا على الاعتمادات الداخلية للمكوّنات المُدارة، مثل كلمة مرور مسؤول Marzban المُولّدة. الرموز تُولَّد بمولّد تشفيري؛ ولا تُخزَّن إلا تجزئتها بـ HMAC، والمقارنة بزمن ثابت. الرمز يُستخدَم مرة واحدة: عند النجاح يُحذَف فورًا (لا إعادة إرسال)؛ وبعد 5 محاولات خاطئة يُبطَل مبكّرًا. حدّ معدّل الإصدار يُحسَب لكل بريد، لا لكل IP — فلا يمكن الالتفاف عليه بتبديل العناوين.

SR-13الجلسة محميّة.مُتحقَّق منه+

رمز الجلسة يقبع في كوكي HttpOnly و Secure (لا تستطيع JS قراءته)، ويُتحقَّق منه في الخلفية (لا عند الحافة فقط). مهلة الخمول والخروج التلقائي عند عدم النشاط مُنفَّذان على العميل، لا على الخادم. الرمز مُوقَّع بـ HS256؛ وعند التحقّق نرفض بصرامة أي خوارزمية أخرى (بما فيها «none») — فهجوم تبديل الخوارزمية الكلاسيكي لا يمرّ. رمز المتجر ورمز لوحة الشريك مفصولان بحسب الجمهور (audience): رمز المستخدم النهائي لا يمكنه تقنيًا الوصول إلى API الشريك (والعكس صحيح). والشريك المحذوف يُرفَض حتى بوجود رمز حيّ.

تحفّظ: الإبطال مُنفَّذ عبر التحقّق من وجود الشريك في كل طلب، لا عبر إبطال الرمز نفسه؛ وتسجيل الخروج يحذف الكوكي، لكن الرمز الصادر يبقى صالحًا تشفيريًا حتى انتهاء صلاحيته (حتى ساعة). لا توجد بعد قائمة إبطال مركزية (تبسيط MVP واعٍ).

SR-14الرموز والأسرار لا تتسرّب إلى المتصفّح.مُتحقَّق منه+

لا رموز في التخزين المحلي للمتصفّح (إعدادات الواجهة فقط)؛ ولا أسرار ولا عنوان API يصل إلى حزمة العميل. الخادم (Next.js) وحده يضع الرمز في كوكي HttpOnly. المتصفّح يتحدّث إلى اللبّ عبر الخادم فقط (Server Actions): الواجهة الأمامية لا تستدعي API مباشرة من المتصفّح، و CORS لا يسمح للمتصفّح بقراءة استجابات API من مصادر أخرى.

توضيح بدل مطلق سابق: نطاق API نفسه مضيف علني — تقنيًا يمكنك فتحه من متصفّح، لكن من دون جلسة لا يُرجِع أي بيانات مُصرَّح بها.

SR-15تستخدم النطاقات العامة للمنصة بروتوكول HTTPS مع ترويسات أمان صارمة.مُتحقَّق منه+

تُقدَّم النطاقات العامة لـ CreateYourVPN عبر HTTPS مع HSTS (بمدة max-age سنتين، وincludeSubDomains). ويرسل كلٌّ من واجهة الويب ونطاق الـ API مجموعة صارمة من ترويسات الأمان: سياسة Content-Security-Policy تقييدية، وX-Content-Type-Options: nosniff، وX-Frame-Options، وسياسة Referrer-Policy محكمة (no-referrer على الـ API؛ وstrict-origin-when-cross-origin على الواجهة، التي تُرسل أيضًا سياسة Permissions-Policy تقييدية).

هذا يعمل فعليًا في الإنتاج على كلا النطاقين، ويمكن التحقق منه بشكل مستقل — بأي أداة لفحص ترويسات HTTP أو بخدمة مثل SSL Labs.

بصدق عن المخاطر (ما لا نَعِدُ به)

بصدق عن المخاطر (ما لا نَعِدُ به)

تقرير بلا هذا القسم هو تسويق. وإليك الحدود الحقيقية:

01تخزين مركزي للمفاتيح — تحت حماية متعددة الطبقات.

تخزّن لوحة التحكم مفاتيح الوصول المشفَّرة إلى أسطول الخوادم بأكمله. وهي بطبيعة الحال المكوّن الأكثر حساسية في النظام — ولذلك نحميها بما يتناسب مع ذلك.

ما يوفّر الحماية: تُخزَّن الأسرار الثقيلة في قاعدة البيانات على هيئة نص مشفَّر فقط؛ ويُحفَظ مفتاح التشفير (KEK) بمعزل عن قاعدة البيانات؛ ولا تصل المفاتيح إلى المتصفح إطلاقًا؛ وتُصفَّر عند حذف الخادم. أما رموز الاشتراك فلها طبقة إضافية — بحث بالبصمة (hash lookup) مع AES-GCM — بحيث إن نسخة من قاعدة البيانات دون مفتاح KEK لا تحتوي على أي روابط /sub صالحة.

السقف الصادق: التشفير يحمي بشكل موثوق من سرقة قاعدة البيانات نفسها — نسخة احتياطية أو نسخة متماثلة أو نسخة مُصدَّرة. لكنه لا يلغي خطر الاختراق الكامل لمضيف اللوحة نفسه، حيث يكون كلٌّ من مفتاح KEK وقاعدة البيانات متاحًا لعملية واحدة. ولهذا فإن محور دفاعنا الأساسي هو منع الاستيلاء على المضيف من الأساس: العزل، والتحديثات الأمنية التلقائية، وأقل قدر ممكن من الأسطح المكشوفة.

سيصل نظام KMS/HSM مخصص في أحد إصدارات الأمان القادمة.

02خطر هجوم Man-in-the-Middle (MITM) عند أول اتصال مُختزَل إلى الصفر عمليًا.

عند إضافة خادم، نتصل به مرة واحدة فقط — باستخدام كلمة مرور مؤقتة تُدخلها. وعلى هذا الاتصال الأول تحديدًا يكون هجوم Man-in-the-Middle (MITM) ممكنًا نظريًا. نحن نُبطله عبر عدة تدابير مستقلة، بحيث يُختزَل الخطر العملي إلى الصفر.

كلمة المرور تُستخدم لمرة واحدة: فهي تخدم اتصالًا واحدًا فقط، ولا تُخزَّن في أي مكان لدينا، ولا يُعاد استخدامها أبدًا. ولا يُرسَل المفتاح الخاص عبر الشبكة إطلاقًا — إذ تعتمد المصادقة اللاحقة على زوج من المفاتيح (مصادقة المفتاح العام pubkey) وليس على كلمة المرور.

فور انتهاء الإعداد، تُعطَّل المصادقة بكلمة المرور والدخول بحساب الجذر (root) على الخادم، ويُغيَّر منفذ SSH، ويُحصَر الوصول في المفاتيح فقط. ومنذ تلك اللحظة لا تفتح كلمة المرور شيئًا حتى لو جرى اعتراضها.

كل اتصال إداري لاحق يتحقق من بصمة الخادم المثبَّتة (host-key pinning) — وأي خادم يُستبدَل «في المنتصف» يُرفَض.

ونتيجةً لذلك، لن يكون الاعتراض ممكنًا إلا لمهاجمٍ موجود فعليًا على مسار الشبكة بيننا وبين الخادم خلال تلك الثواني القليلة من التثبيت الأولي — وحتى في هذه الحالة القصوى تصبح البيانات المعترَضة عديمة الجدوى على الفور.

03الوصول المادي إلى الخادم بيد مزوّد الـ VPS الخاص بك.

هذه خاصية أي خادم مستأجَر، لا خادمنا وحده: فاللقطات (snapshots) ووضع الإنقاذ (rescue) وما شابه متاحة للمزوّد، ولا يحمي منها أي برنامج. في المقابل، اختيار مزوّد جدير بالثقة بين يديك، والخادم ملكك بالكامل — يمكنك تغيير المضيف أو حذف الجهاز في أي وقت.

04الثغرات غير المعروفة (0-day) موجودة دائمًا.

لا أحد يَعِد بحماية مطلقة — فالثغرات الجديدة تظهر في كل البرمجيات. ما نفعله: تُثبَّت تحديثات الأمان تلقائيًا، أما الإصلاحات التي تتطلب إعادة تشغيل (النواة، وأحيانًا OpenSSH) فتُطبَّق بعد إعادة التشغيل — يدويًا كان أم مجدولًا (انظر SR-11).

05يُخزَّن البريد الإلكتروني — بالحد الأدنى وبحسب الحاجة الوظيفية.

بريدك لتسجيل الدخول، وبريد المستخدمين النهائيين في حالات خدمية قليلة (انظر SR-6). يُحفَظ فقط بالقدر اللازم ويُمحى تلقائيًا (انظر الخطر 9).

06تسجيل الدخول يتم برمز عبر البريد الإلكتروني — ولا يوجد 2FA منفصل بعد.

بما أن تسجيل الدخول يعتمد على رمز مؤقت يُرسَل بالبريد، فإن صندوق بريدك هو عمليًا مفتاح الحساب — ويستحق حماية جيدة. لا يوجد عامل ثانٍ بعد: وهذا معقول في هذه المرحلة، لكن من الجدير معرفته.

07تُحفَظ البيانات لمدة محدودة وتُمحى تلقائيًا.

نحتفظ بالبيانات الشخصية فقط بالقدر الذي تتطلبه العملية، ثم نمحوها تلقائيًا. يُحذَف البريد الإلكتروني من قائمة الانتظار فور إرسال الرسالة، ويُحذَف المحتوى الخام لحدث دفع ناجح فور معالجته.

شيء واحد فقط يبقى لمدة أطول: أحداث الدفع التي تنتظر إعادة محاولة أو مراجعة يدوية. يُحفَظ محتواها الأصلي لا إلى ما لا نهاية، بل حتى نهاية نافذة مدتها 90 يومًا من دون نشاط، وبعدها تُمحى البيانات الشخصية تلقائيًا.

لا يوجد بعد زر «حذف بياناتي» ذاتي الخدمة في الواجهة — إنه ضمن الخطط. وفي هذه الأثناء، يمكنك حذف حسابك، ومعه البيانات المرتبطة به، بالتواصل مع الدعم.

08رموز الاشتراك لا تنتهي صلاحيتها.

رابط /sub رمز bearer دائم حتى الإبطال اليدوي أو حذف المستخدم؛ لا انتهاء صلاحية آلي ولا تدوير (رابط مُسرَّب يبقى حيًّا).

09نُسخ المستخدمين الاحتياطية تنقل البيانات خارج خادمك.

إذا فعّلت تصدير النسخ الاحتياطية إلى Google Drive أو S3، فإن بيانات المستخدمين تغادر خادمك، وتصبح حمايتها عندئذٍ رهنًا بسحابتك — ولا يغطيها هذا التقرير بشكل منفصل. إنه اختيارك الواعي: فهذه ميزة تُفعّلها بنفسك.

لا تأخذ بكلامنا

كيف تتحقّق من هذا.

كل ادّعاء أعلاه رهان علني. ندعوك لتجد أين أخطأنا أو بالغنا:

المسار A

المسار A — الثغرات الكلاسيكية (RCE، تجاوز التصريح، IDOR، التسريبات، وما إلى ذلك).

المسار B

المسار B — دحض هذا التقرير: أثبت أن أي SR-N غير صحيح، واحصل على مكافأة، وننشر التصحيح علنًا.

وجدت شيئًا؟

راسِلنا بإثبات مفهوم قابل لإعادة الإنتاج. نردّ خلال 72 ساعة ونُجري الفرز داخليًا.

security@createyourvpn.com/.well-known/security.txt · 90 يومًا من الصمت · الملاذ الآمن