Sicherheitsaudit 2025 von cure53
Sicherheit steht bei Psono immer im Mittelpunkt unseres Handelns. Deshalb freuen wir uns, die Ergebnisse unseres jüngsten Sicherheitsaudits, durchgeführt von der renommierten Cybersicherheitsfirma Cure53, mit Ihnen zu teilen. Ihr umfassender White-Box-Penetrationstest und Quellcode-Audit konzentrierten sich auf die Psono-Browser-Erweiterungen (Chrome, Firefox, Edge), unsere Backend-API und verwandte Endpunkte.
„Die app-weit verwendete PyNaCl-Bibliothek gewährleistet eine effektive Datenverarbeitung und Kryptographie.“
— Cure53 Sicherheitsbericht, März 2025
Was das Audit umfasste
Das Audit umfasste vier spezialisierte Arbeitspakete (WPs) und bewertete sowohl client-seitige als auch server-seitige Komponenten von Psono:
- WP1–WP3: Chrome-, Firefox- und Edge-Erweiterungen
- WP4: Backend-API und Endpunkte
Das Team von Cure53 erhielt vollen Zugang zu unserem Quellcode, unserer Dokumentation und unseren internen Ressourcen. Im Verlauf von zwölf Tagen bewertete ihr fünfköpfiges Team gründlich die Sicherheit unserer Infrastruktur.
Erkenntnisse und Maßnahmen
Insgesamt wurden acht sicherheitsrelevante Probleme identifiziert, die von geringer bis hoher Schwere reichten:
- 0 Kritische Schweregradprobleme
- 1 Problem mit hoher Schwere
- 3 Probleme mit mittlerer Schwere
- 4 Probleme mit geringer Schwere oder verschiedene Probleme
Alle Schwachstellen wurden bereits behoben und von Cure53 verifiziert. Wo es angemessen war, haben wir zusätzliche Vorkehrungen getroffen, wie z.B. CSPs (Content Security Policies), Protokollvalidierung, Abhängigkeitsaktualisierungen und sichereres Autofill-Verhalten.
Sie können die vollständige Liste der Ergebnisse, einschließlich detaillierter technischer Einblicke und Maßnahmenhinweise, in der öffentlichen Version des Cure53-Berichts nachfolgend lesen.
Warum das wichtig ist
Die Transparenz unserer Sicherheitspraktiken trägt dazu bei, das Vertrauen unserer Nutzer in Psono zu stärken. Open-Source-Projekte profitieren erheblich von öffentlicher Prüfung—und wir heißen sie willkommen.
Wir sind stolz darauf, dass der Bericht die Stärke unserer bestehenden Sicherheitsmaßnahmen anerkennt. Besonders bemerkenswert ist, dass viele der identifizierten Probleme durch Designmechanismen wie API-Schlüsselzugriffskontrollen und strikte CSP-Durchsetzung in ihrer Wirkung gemildert wurden.
Laden Sie den vollständigen Bericht herunter
Sie können den vollständigen Cure53-Bericht hier lesen:
