راه‌اندازی اپلیکیشن
شفافیت

اینکه چگونه این واقعاً کار می‌کند.

جزئیاتی درباره معماری، داده‌ها، سیاست علامت‌گذاری. اگر به شما اهمیت دارد که «بدون لاگ» یک شعار است یا یک توصیف، این صفحه برای شماست.

پشته: PHP 8.2 · nginx · ذخیره‌سازی: JSON مسطح · بدون پایگاه داده · TTL لاگ: 24h
کوکی‌های تنظیم‌شده
1 فقط نشست CSRF
ردیاب‌های شخص ثالث
0 هیچ. صفر. هرگز.
چرخش لاگ
24h دسترسی nginx
نگهداری سفارش
در تسویه حداکثر ۳۰ روز
معماری

یک فرانت‌اند نازک روی یک لایه مسیریابی

NoKYCSwap یک فرانت‌اند PHP 8.2 روی یک تجمیع‌کننده نقدینگی شخص ثالث است. هیچ پایگاه داده‌ای وجود ندارد — بدون جدول کاربران، بدون جدول سفارش‌ها، هیچ چیز رابطه‌ای. وضعیت سفارش زودگذر به‌صورت فایل‌های JSON مسطح روی سیستم فایل زندگی می‌کند و در تسویه پاک می‌شود.

تنها ذخیره‌ساز پایدار فراتر از آن، یک کش سیستم فایل برای نرخ‌های اعلام‌شده (TTL ۶۰ ثانیه) و لیست ارز (TTL ۵ دقیقه) است.

هر سفارش یک قابلیت است: شناسه سفارش به‌علاوه یک توکن که توسط بک‌اند بازگردانده می‌شود. شما URL را با آنها جاسازی‌شده نگه می‌دارید؛ ما آدرس واریز متناظر به‌علاوه یک تاریخ‌زمان را نگه می‌داریم. چیز دیگری نه.

بدون تحلیل‌گر. بدون اثرانگشت‌گیری. بدون شناسه کاربر پایدار. مسیریاب بالادستی حداقل ابرداده سواپ لازم برای اجرا را می‌بیند — و هیچ چیز هرگز شما را در بین نشست‌ها همبسته نمی‌کند.

فهرست داده‌ها

آنچه ما record

هر فیلدی که لمس می‌کنیم، فهرست شده است. بدون سطل‌های پنهان.

کوکی نشست CSRF

یک کوکی تصادفی nsw به مدت نشست مرورگر. فقط برای محافظت از API ایجاد سفارش استفاده می‌شود. هیچ شناسه‌ای درون آن نیست.

رکورد سفارش

جفت، مبلغ، آدرس واریز، آدرس پرداخت، نوع (شناور/ثابت)، تاریخ‌زمان ایجاد. در تسویه پاک می‌شود (یا حداکثر پس از ۳۰ روز).

شمارنده‌های ضد سوءاستفاده

شمارشگرهای محدودیت نرخ در هر IP، هر دقیقه ریست می‌شوند. هرگز به داده‌های شخصی مرتبط نیستند.

لاگ‌های دسترسی Nginx

متد، مسیر، وضعیت، user-agent. هر ۲۴ ساعت چرخش می‌کند.

آنچه ما never record

نام، ایمیل، تلفن، شناسه، تاریخ تولد، ملیت

هر تگ تحلیل داده شخص ثالث (نه GA، نه Hotjar، نه Segment، نه Meta Pixel)

کوکی‌های ردیابی فراتر از توکن CSRF نشست

لاگ‌های IP بلندمدت (چرخش کمتر از ۲۴ ساعت)

اثر انگشت دستگاه یا مرورگر

هر شناسه همبسته بین نشست‌ها

علامت‌گذاری

چه اتفاقی می‌افتد وقتی یک سفارش علامت‌گذاری‌شده

1

سفارش به حالت اضطراری وارد می‌شود

مسیریاب بالادستی آدرس‌های واریز را در برابر لیست‌های تحریم و فیدهای جریان غیرقانونی غربال می‌کند. اگر آدرسی مطابقت داشته باشد، صفحه سفارش اقدامات اضطراری را نمایش می‌دهد.

2

دو گزینه، هر دو تحت کنترل شما

بازپرداخت به آدرسی که شما ارائه می‌دهید (بدون پرسش)، یا پذیرش نرخ بازار فعلی و ادامه. شما انتخاب می‌کنید. گزینه سوم پنهانی وجود ندارد.

3

هرگز درخواست هویت

ما در این مرحله اسناد هویتی درخواست نمی‌کنیم. هرگز. اگر هر دو اقدام رد شوند، واریز به آدرس فرستنده قابل مشاهده در آن‌چین بازگردانده می‌شود.

اشخاص ثالث

هر سرویس خارجی ما آن را می‌نامیم

CDN / TLS (شبکه تحویل محتوا / امنیت انتقال)

Cloudflare

دارایی‌های استاتیک را ارائه می‌دهد. TLS در Cloudflare خاتمه می‌یابد؛ ما IP واقعی کلاینت را از طریق CF-Connecting-IP فقط برای محدودسازی نرخ دریافت می‌کنیم.

وب‌فونت‌ها

fonts.bunny.net

Inter و JetBrains Mono. آینه‌ای حفظ‌کننده حریم خصوصی از Google Fonts که IP‌ها را لاگ نمی‌کند.

مسیریاب نقدینگی

ff.io

ابرداده درخواست سواپ لازم برای اجرا را دریافت می‌کند: جفت، مبلغ، مقصد، آدرس بازگشت اختیاری. با HMAC امضا شده.

موضع امنیتی

سخت‌سازی در یک نگاه

  • فقط HTTPS با پیکربندی واجد شرایط HSTS preload.
  • Content-Security-Policy سخت‌گیرانه؛ بدون اسکریپت‌های خطی فراتر از payload‌های JSON.
  • X-Frame-Options SAMEORIGIN · X-Content-Type-Options nosniff · Referrer-Policy سخت‌گیرانه.
  • Permissions-Policy موقعیت جغرافیایی، میکروفون، دوربین و پرداخت را به «none» محدود می‌کند.
  • توکن‌های CSRF در تمام نقاط پایانی API تغییردهنده وضعیت.
  • تمام تنظیمات حساس (کلیدهای API، مواد امضا) خارج از webroot قرار دارند.

گزارش‌های امنیتی: [email protected]. همچنین security.txt و سیاست افشای کامل را ببینید.

فقط لوله‌کشی نگهداری شخصی، صادقانه توصیف‌شده.

ویجت را باز کنید درباره تیم