jurnal keselamatan

Jurnal keselamatan.

Kami menerbitkan penemuan selepas ia dibetulkan dan disahkan — ringkasan pendek, tidak pernah resipi eksploitasi. Masa pembetulan berada di sebelah setiap entri.

entri

Apa yang telah berlaku.

15 Julai 2026

Semakan dalaman sebelum pelancaran program

Pada 15 Julai 2026 kami memulakan semakan keselamatan dalaman CreateYourVPN. Pembetulan yang telah kami siapkan dan sahkan semula diterbitkan di bawah; lebih banyak akan menyusul apabila ia digunakan dan disahkan.

Pasukan CreateYourVPN
15 Julai 2026

Ditambah pelindung terhadap konfigurasi cross-origin yang tidak selamat

Konfigurasi production semasa tidak membenarkan origin sewenang-wenangnya, tetapi kod itu membenarkan gabungan parameter yang berbahaya jika seseorang operator tersalah konfigurasi. Gabungan itu kini ditolak semasa permulaan dan diliputi oleh ujian automatik.

Pasukan CreateYourVPN
15 Julai 2026

Mengurangkan permukaan awam production API

Dokumentasi teknikal interaktif API boleh dicapai tanpa pengesahan. Ia tidak memberi akses kepada data terlindung, tetapi memudahkan pengkajian struktur dalaman API. Dalam production, dokumentasi kini dilumpuhkan, sambil kekal tersedia dalam persekitaran terpencil untuk pembangunan.

Pasukan CreateYourVPN
15 Julai 2026

Kunci kriptografi platform dipisahkan mengikut tujuan

Satu semakan dalaman mendapati bahawa satu rahsia digunakan untuk dua tugas kriptografi yang berbeza. Ini tidak mewujudkan pintasan langsung, tetapi meluaskan kesan sekiranya kunci terjejas. Kedua-dua tujuan telah dipisahkan dan setiap satu kini diputar secara bebas.

Pasukan CreateYourVPN
15 Julai 2026

Terjamin pembersihan kunci pengurusan selepas pemadaman pelayan

Pembersihan kunci pengurusan tersulit dijalankan selepas operasi rangkaian di latar belakang dan mungkin gagal berulang jika operasi itu gagal. Kami mengasingkan pembersihan kunci daripada lata rangkaian dan menambah percubaan semula yang terjamin. Senario pelayan tidak boleh dicapai dan proses terganggu diliputi oleh ujian.

Pasukan CreateYourVPN
15 Julai 2026

Membuang laluan kebenaran API rakan kongsi yang tidak digunakan

API menyokong satu laluan kebenaran tambahan berasaskan cookie yang tidak diperlukan oleh seni bina server-side semasa. Tiada serangan rentas tapak ditemui dalam production, tetapi laluan tambahan itu meluaskan permukaan bagi kesilapan pada masa hadapan. API kini menggunakan satu kaedah kebenaran yang ditakrifkan secara jelas, diliputi oleh ujian negatif.

Pasukan CreateYourVPN
cara membaca jurnal

Apa yang masuk ke sini.

yang kami terbitkan

Ringkasan dan garis masa

Inti sesuatu penemuan, kelas kerentanannya, tarikh laporan dan tarikh pembetulan. Jika sesuatu penemuan menyangkal dakwaan SR — pembetulan awam terhadap laporan.

yang tidak kami terbitkan

Resipi eksploitasi

Arahan langkah demi langkah, kod PoC, dan butiran yang akan membantu menyerang server lain sebelum semua orang mengemas kini.

Menemui sesuatu?

Tulislah kepada kami dengan bukti konsep yang boleh dihasilkan semula. Kami membalas dalam masa 72 jam dan mengendalikan triaj secara dalaman.

security@createyourvpn.com/.well-known/security.txt · 90 hari senyap · safe harbor