सुरक्षा जर्नल

सुरक्षा जर्नल।

हम निष्कर्षों को ठीक किए जाने और सत्यापित किए जाने के बाद प्रकाशित करते हैं — एक संक्षिप्त सारांश, कभी कोई exploit नुस्खा नहीं। ठीक करने का समय हर प्रविष्टि के बगल में रहता है।

प्रविष्टियाँ

क्या-क्या हुआ है।

15 जुलाई 2026

प्रोग्राम लॉन्च से पहले आंतरिक समीक्षा

15 जुलाई 2026 को हमने CreateYourVPN की आंतरिक सुरक्षा समीक्षा शुरू की। जो सुधार हमने पूरे किए और दोबारा सत्यापित किए, वे नीचे प्रकाशित हैं; जैसे-जैसे और सुधार तैनात और पुष्ट होते जाएँगे, वे आते रहेंगे।

CreateYourVPN टीम
15 जुलाई 2026

असुरक्षित cross-origin कॉन्फ़िगरेशन के विरुद्ध एक सुरक्षा-उपाय जोड़ा गया

मौजूदा production कॉन्फ़िगरेशन मनमाने origins की अनुमति नहीं देती थी, पर यदि कोई ऑपरेटर इसे गलत तरीके से सेट कर देता तो कोड पैरामीटर के एक ख़तरनाक संयोजन की अनुमति देता था। अब वह संयोजन स्टार्टअप पर अस्वीकार कर दिया जाता है और एक स्वचालित टेस्ट से कवर है।

CreateYourVPN टीम
15 जुलाई 2026

production API की सार्वजनिक सतह घटाई गई

API का इंटरैक्टिव तकनीकी दस्तावेज़ बिना प्रमाणीकरण के पहुँच योग्य था। इससे संरक्षित डेटा तक पहुँच नहीं मिलती थी, पर API की आंतरिक संरचना का अध्ययन आसान हो जाता था। production में यह दस्तावेज़ अब बंद कर दिया गया है, जबकि विकास के लिए एक पृथक वातावरण में उपलब्ध रहता है।

CreateYourVPN टीम
15 जुलाई 2026

प्लेटफ़ॉर्म की क्रिप्टोग्राफ़िक कुंजियाँ उद्देश्य के अनुसार अलग की गईं

एक आंतरिक समीक्षा में पाया गया कि एक ही सीक्रेट दो अलग-अलग क्रिप्टोग्राफ़िक कार्यों के लिए इस्तेमाल हो रहा था। इससे कोई सीधा बायपास नहीं बनता था, पर कुंजी के समझौते का प्रभाव-क्षेत्र बढ़ जाता था। दोनों उद्देश्य अलग कर दिए गए हैं और अब प्रत्येक स्वतंत्र रूप से रोटेट होता है।

CreateYourVPN टीम
15 जुलाई 2026

सर्वर हटाने के बाद प्रबंधन कुंजी की सफ़ाई सुनिश्चित की गई

एन्क्रिप्टेड प्रबंधन कुंजी की सफ़ाई पृष्ठभूमि की नेटवर्क क्रियाओं के बाद चलती थी और उन क्रियाओं के विफल होने पर दोहरा नहीं पाती थी। हमने कुंजी की सफ़ाई को नेटवर्क कैस्केड से अलग कर दिया और एक सुनिश्चित पुनः-प्रयास जोड़ा। पहुँच से बाहर सर्वर और बाधित प्रक्रिया के परिदृश्य टेस्ट से कवर हैं।

CreateYourVPN टीम
15 जुलाई 2026

पार्टनर API का एक अप्रयुक्त प्राधिकरण मार्ग हटाया गया

API एक अतिरिक्त cookie-आधारित प्राधिकरण मार्ग का समर्थन करता था, जिसकी मौजूदा server-side आर्किटेक्चर को आवश्यकता नहीं थी। production में कोई क्रॉस-साइट हमला नहीं मिला, पर अतिरिक्त मार्ग भविष्य की गलतियों की सतह बढ़ाता था। अब API एक एकल, स्पष्ट रूप से परिभाषित प्राधिकरण विधि का उपयोग करता है, जो नकारात्मक टेस्ट से कवर है।

CreateYourVPN टीम
जर्नल कैसे पढ़ें

इसमें क्या जाता है।

हम प्रकाशित करते हैं

सारांश और समयरेखाएँ

किसी निष्कर्ष का सार, भेद्यता का वर्ग, रिपोर्ट की तारीख़ और फ़िक्स की तारीख़। यदि किसी निष्कर्ष ने किसी SR दावे का खंडन किया — तो रिपोर्ट में एक सार्वजनिक सुधार।

हम प्रकाशित नहीं करते

Exploit नुस्खे

चरण-दर-चरण निर्देश, PoC कोड और वे विवरण जो सबके अपडेट करने से पहले अन्य सर्वरों पर हमला करने में मदद करें।

कुछ मिला?

एक पुनरुत्पादनीय proof of concept के साथ हमें लिखें। हम 72 घंटों के भीतर जवाब देते हैं और triage अंदरूनी तौर पर करते हैं।

security@createyourvpn.com/.well-known/security.txt · 90 दिन की चुप्पी · safe harbor