Sicherheit steht bei Psono immer im Mittelpunkt unseres Handelns. Deshalb freuen wir uns, die Ergebnisse unseres jüngsten Sicherheitsaudits, durchgeführt von der renommierten Cybersicherheitsfirma Cure53, mit Ihnen zu teilen. Ihr umfassender White-Box-Penetrationstest und Quellcode-Audit konzentrierten sich auf die Psono-Browser-Erweiterungen (Chrome, Firefox, Edge), unsere Backend-API und verwandte Endpunkte.
„Die app-weit verwendete PyNaCl-Bibliothek gewährleistet eine effektive Datenverarbeitung und Kryptographie.“
— Cure53 Sicherheitsbericht, März 2025
Das Audit umfasste vier spezialisierte Arbeitspakete (WPs) und bewertete sowohl client-seitige als auch server-seitige Komponenten von Psono:
Das Team von Cure53 erhielt vollen Zugang zu unserem Quellcode, unserer Dokumentation und unseren internen Ressourcen. Im Verlauf von zwölf Tagen bewertete ihr fünfköpfiges Team gründlich die Sicherheit unserer Infrastruktur.
Insgesamt wurden acht sicherheitsrelevante Probleme identifiziert, die von geringer bis hoher Schwere reichten:
Alle Schwachstellen wurden bereits behoben und von Cure53 verifiziert. Wo es angemessen war, haben wir zusätzliche Vorkehrungen getroffen, wie z.B. CSPs (Content Security Policies), Protokollvalidierung, Abhängigkeitsaktualisierungen und sichereres Autofill-Verhalten.
Sie können die vollständige Liste der Ergebnisse, einschließlich detaillierter technischer Einblicke und Maßnahmenhinweise, in der öffentlichen Version des Cure53-Berichts nachfolgend lesen.
Die Transparenz unserer Sicherheitspraktiken trägt dazu bei, das Vertrauen unserer Nutzer in Psono zu stärken. Open-Source-Projekte profitieren erheblich von öffentlicher Prüfung—und wir heißen sie willkommen.
Wir sind stolz darauf, dass der Bericht die Stärke unserer bestehenden Sicherheitsmaßnahmen anerkennt. Besonders bemerkenswert ist, dass viele der identifizierten Probleme durch Designmechanismen wie API-Schlüsselzugriffskontrollen und strikte CSP-Durchsetzung in ihrer Wirkung gemildert wurden.
Sie können den vollständigen Cure53-Bericht hier lesen: