App öffnen
Sicherheit

Verantwortungsvolle Offenlegung, richtig gemacht.

Wenn Sie auf NoKYCSwap eine Schwachstelle finden, melden Sie sie uns. 90-Tage-koordinierte Offenlegung, keine rechtlichen Schritte gegen gutgläubige Forschung, öffentliche Nennung auf Anfrage. Diese Seite nennt die genauen Bedingungen.

Meldung
[email protected] security.txt
Bestätigung: < 48h · Fix-SLA: 14 – 90d · PGP: auf Anfrage
Offenlegungs-Zeitplan

Von Meldung bis öffentliche Nennung

1
Tag 0

Meldung

Schreiben Sie eine E-Mail an [email protected] mit einer kurzen Beschreibung und einem Proof of Concept. PGP-Schlüssel auf Anfrage. Wir bestätigen innerhalb von 48 Stunden.

2
Tag 1 – 90

Triage & Behebung

Wir reproduzieren, bewerten und deployen einen Fix. Bei Schweregrad über mittel streben wir an, den Fix innerhalb von 14 Tagen auszuliefern; bei niedrigem Schweregrad innerhalb von 90. Sie erhalten mindestens alle 14 Tage ein Status-Update.

3
Tag 90+

Öffentliche Offenlegung

Nachdem der Fix ausgeliefert ist und Nutzer Zeit hatten, ihn zu übernehmen, veröffentlichen wir eine kurze Notiz und nennen Sie mit Namen oder Handle — es sei denn, Sie bevorzugen etwas anderes. Ausschließlich koordinierte Offenlegung. Keine überraschenden Embargos.

Umfang

Was wir möchten zu testen

Im Umfang

Freiwild

  • Das nokycswap.io-Web-Frontend und jede von uns betriebene Subdomain (api. usw.).
  • Serverseitige Codepfade, die von der Produktionsoberfläche erreichbar sind.
  • Client-seitige Probleme mit nachweisbarem Impact (XSS, CSRF-Bypass, DOM-Clobbering, das Zustand leakt).
  • Kryptografische Schwächen in unserer Signier-, CSRF- oder Sitzungs-Handhabung.
  • Über HTTP(S) sichtbare Fehlkonfigurationen: CSP-Bypass, HSTS-/Preload-Lücken, CORS-Permissivität, Header-Injection-Ketten.
  • Logikfehler, die einem Nutzer erlauben, den Auftragszustand eines anderen zu lesen oder zu manipulieren.
Außerhalb des Umfangs

Nicht zulässig & wird geschlossen

  • Denial-of-Service, Ressourcenerschöpfung, Umgehung der Ratenbegrenzung ohne Sekundärimpact.
  • Tab-Nabbing, Clickjacking ohne Sicherheits-Impact, fehlende Security-Header auf statischen Ressourcen.
  • Probleme, die einen Angreifer im Nutzer-Browser erfordern (schädliche Erweiterungen, lokale Malware).
  • Spoofing von From-Headern in E-Mails, die wir nicht kontrollieren.
  • Drittanbieter-Ressourcen (Cloudflare, fonts.bunny.net, ff.io) — direkt dort melden.
  • Self-XSS, UI-Redressing, auf das ein vernünftiger Nutzer nicht hereinfallen würde.
  • Best-Practice-Vorschläge ohne nachweisbaren Impact.
Safe Harbour

Unsere Zusagen für Forscher

Keine rechtlichen Schritte

Gegen gutgläubige Forschung, die im Rahmen bleibt, destruktive Tests vermeidet und die Privatsphäre der Nutzer respektiert, nicht. Wir kontaktieren weder Ihren Arbeitgeber, Hosting-Anbieter noch Strafverfolgungsbehörden bezüglich Ihrer Meldung.

Keine automatisierten Sperren

Aktives Testen (autorisierte Scanner, manuelles Probing) löst keine Kontosperre aus — wir haben keine Konten. Ratenbegrenzungen auf IP-Ebene greifen; melden Sie sich und wir setzen Ihre Quelle auf die Whitelist.

Nennung auf Anfrage

Wir veröffentlichen nach Auslieferung des Fixes eine kurze Danksagung in den Release Notes und auf dieser Seite. Möchten Sie pseudonym oder anonym bleiben? Sagen Sie das in der Meldung.

Bounty — Klartext

Wir betreiben noch kein bezahltes Bounty-Programm. Wir bedanken uns für substanzielle Meldungen mit Merch, Testnet-Credits und ehrlicher öffentlicher Nennung. Sobald die Ressourcen da sind, folgt ein bezahltes Programm.

Hall of Fame

Forscher, die hierzu beigetragen haben Seite sicherer

Wir nennen jede substanzielle Meldung hier, nachdem der Fix ausgeliefert wurde. Die Liste ist derzeit leer — nicht, weil niemand geschaut hat, sondern weil wir diese Seite gerade erst veröffentlicht haben. Wenn Sie die erste Person sein möchten, schreiben Sie an [email protected].

Etwas gefunden? Sagen Sie es uns zuerst.

Wir beantworten jede Meldung. Standardmäßig privat, öffentlich nach Ihrem Zeitplan.

Dem Team schreiben Transparenz lesen