سیاست امنیتی Rasoul Unlimited

امنیت و گزارش مسئولانه

سیاست افشای آسیب‌پذیری

این وب‌سایت روی GitHub Pages میزبانی می‌شود و از طریق Cloudflare با سرعت و امنیت بیشتری ارائه می‌گردد. سیاست سخت‌گیرانهٔ Content Security Policy نیز از سوی کلودفلر اعمال می‌شود تا از اطلاعات بازدیدکنندگان حفاظت شود.

حفظ امنیت کاربران و داده‌ها برای ما اولویت دارد. این سیاست برای تشویق همکاری مسئولانه و رسیدگی سریع به آسیب‌پذیری‌ها تدوین شده است.

در حال بارگذاری تاریخ اعتبار…

سیاست امنیت محتوا

نمونه‌ای از پیکربندی Content Security Policy که از سوی کلودفلر اعمال می‌شود:

default-src 'self' blob:;
script-src 'self' https://cdn.tailwindcss.com https://cdn.jsdelivr.net https://cdnjs.cloudflare.com https://static.cloudflareinsights.com https://giscus.app 'nonce-RasoulCSP';
style-src 'self' https://fonts.googleapis.com https://cdnjs.cloudflare.com https://cdn.jsdelivr.net 'nonce-RasoulCSP';
style-src-attr 'self' 'nonce-RasoulCSP';
style-src-elem 'self' https://fonts.googleapis.com https://cdnjs.cloudflare.com https://cdn.jsdelivr.net https://giscus.app;
font-src 'self' https://fonts.gstatic.com https://cdnjs.cloudflare.com;
img-src 'self' data: https://avatars.githubusercontent.com;
connect-src 'self' https://static.cloudflareinsights.com https://giscus.app https://api.github.com https://orcid.org https://about.me https://www.researchgate.net https://www.linkedin.com https://github.com;
frame-src https://giscus.app;
object-src 'none';
base-uri 'self';
form-action https://formspree.io 'self';
frame-ancestors 'self';

گزارش آسیب‌پذیری

در صورت یافتن مشکل امنیتی، لطفاً به آدرس [email protected] ایمیل بزنید.

یا از طریق گزارش در GitHub اقدام کنید.

پیش از انتشار عمومی، زمان کافی برای بررسی در نظر بگیرید.

توضیح مختصر مشکل و محل وقوع
گام‌های بازتولید یا نمونه اثبات مفهوم
اطلاعات تماس جهت پاسخ‌گویی
شدت یا تأثیر احتمالی مشکل
جزئیات محیط، آدرس یا پیکربندی مرتبط
لینک یا تصاویر در صورت نیاز

ارتباط امن

برای رمزنگاری مکاتبات از کلید عمومی PGP استفاده کنید.

کلید در Keybase در دسترس است.
دانلود مستقیم کلید PGP
پیش از استفاده، اثر انگشت D483 4991 882E 7EC4 4187 40AC 1CAF 52B8 DB95 F6FE را تطبیق دهید.
پس از وارد کردن کلید، متن ایمیل را رمزنگاری کرده و به [email protected] بفرستید.

محدوده‌ی تست

آزمایش‌های امنیتی تنها بر روی دامنه‌های زیر مجاز است:

rasoulunlimited.ir

فرآیند افشای مسئولانه

گزارش‌ها معمولاً ظرف ۴۸ ساعت تأیید دریافت می‌شوند.
بر اساس شدت مشکل، رفع یا برنامه‌ریزی آن حداکثر ظرف ۳۰ روز اطلاع‌رسانی می‌شود.
در صورت تمایل، نام شما در بخش تقدیر از پژوهشگران امنیتی ذکر خواهد شد.
جزئیات کامل سیاست در security.txt موجود است. دانلود فایل

راهنمای تست

تنها از روش‌های آزمون غیرمخرب استفاده کنید و از آسیب‌زدن به داده‌های واقعی یا مختل کردن سرویس‌ها بپرهیزید.

از هرگونه حمله‌ی منع سرویس یا ایجاد ترافیک غیرعادی خودداری کنید.

همواره مطمئن باشید تمامی فعالیت‌ها مطابق قوانین مربوطه انجام می‌شود.

مسیر امنیتی

2025-05-16

شروع وب‌سایت

انتشار اولیه سایت با نگاه به امنیت و عملکرد.

2025-05-25

ادغام با Cloudflare

بهبود سرعت و امنیت از طریق شبکه توزیع کلودفلر.

2025-06-01

اعمال CSP سخت‌گیرانه

اجرای سیاست‌های دقیق برای جلوگیری از حملات وب.

اعلان‌های امنیتی

آخرین هشدارها و به‌روزرسانی‌های امنیتی در Security Advisories در GitHub منتشر می‌شود.

بررسی کامل پیشینه