Biztonsági Audit 2025 a cure53 által
A biztonság mindig is központi szerepet töltött be a Psono működésében. Ezért örömmel osztjuk meg legutóbbi biztonsági auditunk eredményeit, melyet a neves kiberbiztonsági cég, a Cure53 végzett el. Átfogó white-box penetrációs tesztjük és forráskód ellenőrzésük a Psono böngészőbővítményeire (Chrome, Firefox, Edge), backend API-jára és a kapcsolódó végpontokra terjedt ki.
„A PyNaCl alkalmazás szintű használata hatékony adatkezelést és kriptográfiát biztosít.”
— Cure53 Biztonsági Jelentés, 2025. március
Mit fedett le az audit?
Az audit, amely négy dedikált munkacsomagban (WP) zajlott, a Psono kliens- és szerveroldali komponenseit értékelte:
- WP1–WP3: Chrome, Firefox és Edge bővítmények
- WP4: Backend API és végpontok
A Cure53 csapata teljes hozzáférést kapott forráskódunkhoz, dokumentációinkhoz és belső erőforrásainkhoz. Tizenkét nap alatt az öt főből álló csapat alaposan átvizsgálta infrastruktúránk biztonságát.
Megállapítások és javítások
Összesen nyolc biztonsággal kapcsolatos problémát azonosítottak, amelyek súlyossága az alacsonytól a magasig terjedt:
- 0 kritikus súlyosságú probléma
- 1 magas súlyosságú probléma
- 3 közepes súlyosságú probléma
- 4 alacsony súlyosságú vagy egyéb probléma
Minden sérülékenységet már javítottunk, és a Cure53 ezt vissza is igazolta. Ahol indokolt volt, további védelmi mechanizmusokat vezettünk be, például CSP-ket (Content Security Policy), protokoll validációt, függőségek frissítését és biztonságosabb automatikus kitöltési viselkedést.
A teljes megállapítási lista — részletes technikai leírásokkal és javítási jegyzetekkel együtt — a lentebb linkelt Cure53 jelentés nyilvános változatában olvasható.
Miért fontos ez?
A biztonsági gyakorlataink átláthatósága segít megerősíteni azt a bizalmat, amelyet felhasználóink a Psonóba helyeznek. A nyílt forráskódú projektek különösen sokat profitálnak a nyilvános ellenőrzésből — és mi ezt szívesen látjuk.
Büszkék vagyunk rá, hogy a jelentés elismeri meglévő biztonsági intézkedéseink erősségét. Külön figyelemre méltó, hogy sok azonosított probléma hatását már eleve enyhítette a kialakítás, például API kulcsok hozzáférés-vezérlésével vagy szigorú CSP végrehajtással.
Töltse le a teljes jelentést
A Cure53 teljes jelentését itt olvashatja:
