biztonsági napló

Biztonsági napló.

A megállapításokat azután tesszük közzé, hogy javítottuk és ellenőriztük őket — rövid összefoglaló, soha nem exploit-recept. A javítási idők minden bejegyzés mellett szerepelnek.

bejegyzések

Mi történt eddig.

2026. július 15.

Belső felülvizsgálat a program indítása előtt

2026. július 15-én belső biztonsági felülvizsgálatot indítottunk a CreateYourVPN-en. A befejezett és újraellenőrzött javításokat alább közöljük; továbbiak követik majd, ahogy bevezetjük és megerősítjük őket.

CreateYourVPN csapat
2026. július 15.

Védelmi korlát bevezetve a nem biztonságos cross-origin konfiguráció ellen

A jelenlegi production konfiguráció nem engedélyezett tetszőleges origineket, a kód azonban lehetővé tett egy veszélyes paraméter-kombinációt, ha egy üzemeltető rosszul állította be. Ezt a kombinációt mostantól indításkor elutasítjuk, és automatizált teszt fedi le.

CreateYourVPN csapat
2026. július 15.

Csökkentettük a production API nyilvános felületét

Az API interaktív műszaki dokumentációja hitelesítés nélkül elérhető volt. Nem adott hozzáférést védett adatokhoz, de megkönnyítette az API belső felépítésének tanulmányozását. Production környezetben a dokumentáció mostantól ki van kapcsolva, miközben fejlesztéshez egy elszigetelt környezetben továbbra is elérhető marad.

CreateYourVPN csapat
2026. július 15.

A platform kriptográfiai kulcsai cél szerint szétválasztva

Egy belső felülvizsgálat feltárta, hogy egyetlen titkot két különböző kriptográfiai feladatra használtak. Ez nem hozott létre közvetlen megkerülést, de kiszélesítette egy kulcs kompromittálódásának hatókörét. A két célt szétválasztottuk, és mindegyik önállóan rotálódik.

CreateYourVPN csapat
2026. július 15.

Garantált a felügyeleti kulcs törlése a szerver törlése után

A titkosított felügyeleti kulcs törlése a háttérben zajló hálózati műveletek után futott, és azok meghiúsulása esetén elmaradhatott az ismétlés. A kulcstörlést leválasztottuk a hálózati kaszkádról, és garantált újrapróbálkozást adtunk hozzá. Az elérhetetlen szerver és a megszakadt folyamat forgatókönyveit tesztek fedik le.

CreateYourVPN csapat
2026. július 15.

Eltávolítottunk egy nem használt partneri API-engedélyezési útvonalat

Az API támogatott egy további, cookie-alapú engedélyezési útvonalat, amelyre a jelenlegi server-side architektúrának nem volt szüksége. Production környezetben nem találtunk cross-site támadást, de a plusz útvonal kiszélesítette a jövőbeli hibák felületét. Az API mostantól egyetlen, kifejezetten meghatározott engedélyezési módszert használ, amelyet negatív tesztek fednek le.

CreateYourVPN csapat
hogyan olvasd a naplót

Mi kerül ide.

közzétesszük

Összefoglalók és idővonalak

Egy megállapítás lényege, a sebezhetőség osztálya, a bejelentés dátuma és a javítás dátuma. Ha egy megállapítás megcáfolt egy SR-állítást — nyilvános helyesbítés a jelentéshez.

nem tesszük közzé

Exploit-receptek

Lépésről lépésre útmutatók, PoC-kód és részletek, amelyek segítenének más szerverek megtámadásában, mielőtt mindenki frissít.

Találtál valamit?

Írj nekünk egy reprodukálható proof of concepttel. 72 órán belül válaszolunk, a triage-t házon belül végezzük.

security@createyourvpn.com/.well-known/security.txt · 90 nap csend · safe harbor