پرش به محتوا
Morphit
ورود / ثبت‌نام

موضع امنیتی

چی قول می‌دیم، و این برات یعنی چی.

کلیدهات هیچ‌وقت دستگاهت رو ترک نمی‌کنن.

کلیدها تو مرورگرت با libsodium ساخته می‌شن. با پسوردی که خودت انتخاب می‌کنی (Argon2id + XSalsa20-Poly1305) رمزنگاری می‌شن قبل از ذخیره. هیچ سرور Morphit هیچ‌وقت اون‌ها رو نمی‌بینه.

صفر ردیابی، صفر لاگ.

بدون کوکی. بدون آنالیتیکس. بدون اسکریپت شخص ثالث. بدون لاگ IP. بدون تله‌متری. اگه به تب شبکه مرورگرت نگاه کنی، هر درخواست به Morphit می‌ره و جای دیگه نه.

چت end-to-end رمزنگاری شده.

هر پیام از تبادل کلید X25519 به علاوه رمزنگاری احراز هویت‌شده ChaCha20-Poly1305 (پریمیتیوهای libsodium) با کلید لحظه‌ای تازه برای هر پیام استفاده می‌کنه. متن خام فقط داخل مرورگر تو و مرورگر شریک معاملاتیت وجود داره. سرورهای Morphit، زنجیره زیرین، و هر کس وسطی فقط متن رمز می‌بینن. پروتکل کامل — شامل تبادل‌های عمدی (بدون forward secrecy برای هر پیام) — در docs/adr/0015-chat-crypto.md هست.

بیلدهای قابل بازتولید.

هر انتشار تگ‌گذاری می‌شه؛ هر asset اثرانگشت داره؛ SRI از هر اسکریپت محافظت می‌کنه. می‌تونی از کد منبع دوباره بسازی و مقایسه کنی — هش‌ها رو کنار هر انتشار منتشر می‌کنیم.

متن‌باز، مدل تهدید باز.

مدل تهدید کامل در docs/SECURITY.md مخزن هست. صراحتاً می‌گیم در برابر چی محافظت می‌کنیم و در برابر چی نه — وانمود کردن بدتر از صداقته.

برنامه پاداش باگ

ما یک برنامه تشخیص امنیتی اختیاری اجرا می‌کنیم. هر یافته قابل اقدام توسط یک مهندس واقعی بررسی می‌شود، پاسخ می‌گیرد و — اگر به طور قابل توجهی وضعیت امنیتی Morphit را بهبود بخشد — در BLURT (پرداخت از @morphit-fees) یا BTC پاداش داده می‌شود، که بر اساس شدت و کیفیت گزارش مقیاس می‌شود. هیچ جدول سطح ثابتی وجود ندارد؛ داوری مورد به مورد. اعتبار تالار مشاهیر حتی بدون پرداخت در دسترس است. دامنه کامل، راهنمای شدت، گردش کار پرداخت و آنچه ما انجام نخواهیم داد (بدون NDA، بدون افشای انحصاری) در SECURITY.md مستند شده است.

خواندن دامنه و قوانین کامل →

کاناری حکم

ما یک کاناری هفتگی که با کلید PGP اپراتور امضا شده است منتشر می‌کنیم. کاناری به صراحت اعلام می‌کند که هیچ NSL / FISA / دستور سکوت / درخواست در پشتی دریافت نشده است. اثبات‌های تازگی شامل یک سرتیتر زنجیره Blurt فعلی، یک سرتیتر زنجیره Bitcoin فعلی و یک تیتر خبری فعلی است (ثابت می‌کند که کاناری نمی‌تواند از پیش تولید شود). اگر کاناری برای بیش از ۱۴ روز به‌روزرسانی نشود، آن را به عنوان ساکت در نظر بگیرید: اپراتور ممکن است تحت فشار اجباری باشد، و شما باید به اپراتور فدرال دیگری بروید.

مشاهده کاناری فعلی این اپراتور · کلیدهای PGP اپراتور

مشکلی پیدا کردی؟ لطفاً از طریق مخزن عمومی Forgejo گزارش بده، یا با پیام رمزنگاری‌شده به حساب زنجیره‌ای morphit.