Przejdź do treści
Morphit
Logowanie / Rejestracja

Postawa bezpieczeństwa

Co obiecujemy i co to dla ciebie znaczy.

Twoje klucze nigdy nie opuszczają twojego urządzenia.

Klucze są generowane w twojej przeglądarce za pomocą libsodium. Są szyfrowane hasłem, które wybierasz (Argon2id + XSalsa20-Poly1305) przed zapisaniem. Żaden serwer Morphit nigdy ich nie widzi.

Zero śledzenia, zero logowania.

Bez ciasteczek. Bez analityki. Bez skryptów stron trzecich. Bez logowania IP. Bez telemetrii. Jeśli spojrzysz na zakładkę Sieć w przeglądarce, każde żądanie idzie do Morphit i nigdzie indziej.

Czat jest szyfrowany end-to-end.

Każda wiadomość używa wymiany kluczy X25519 plus uwierzytelnionego szyfrowania ChaCha20-Poly1305 (prymityw libsodium) ze świeżym kluczem efemerycznym na wiadomość. Tekst jawny istnieje tylko w twojej przeglądarce i przeglądarce partnera handlowego. Serwery Morphit, bazowy łańcuch i każdy pomiędzy widzą tylko szyfrogram. Pełny protokół — w tym świadome kompromisy (brak forward secrecy per-wiadomość) — jest w docs/adr/0015-chat-crypto.md.

Powtarzalne buildy.

Każde wydanie jest otagowane; każdy asset ma odcisk; SRI chroni każdy skrypt. Możesz przebudować ze źródła i porównać — publikujemy hashe obok każdego wydania.

Open source, otwarty model zagrożeń.

Pełny model zagrożeń jest w docs/SECURITY.md repo. Jesteśmy jednoznaczni co do tego przed czym chronimy a przed czym nie — udawanie byłoby gorsze niż szczerość.

Program nagród za błędy

Prowadzimy uznaniowy program uznawania bezpieczeństwa. Każde wykonalne odkrycie jest sprawdzane przez prawdziwego inżyniera, otrzymuje odpowiedź i — jeśli istotnie poprawia postawę bezpieczeństwa Morphit — jest nagradzane w BLURT (płacone z @morphit-fees) lub BTC, skalowane według powagi i jakości raportu. Brak stałej tabeli poziomów; ocena indywidualna. Kredyt w hall of fame dostępny nawet bez płatności. Pełny zakres, wytyczne dotyczące powagi, przepływ płatności i czego nie zrobimy (brak NDA, brak ekskluzywnego ujawnienia) jest udokumentowane w SECURITY.md.

Przeczytaj pełny zakres i zasady →

Kanarek nakazu

Publikujemy cotygodniowy kanarek podpisany kluczem PGP operatora. Kanarek wyraźnie deklaruje, że żadne NSL / FISA / nakaz milczenia / żądanie tylnych drzwi nie zostało otrzymane. Dowody świeżości obejmują aktualny nagłówek łańcucha Blurt, aktualny nagłówek łańcucha Bitcoin i aktualny nagłówek wiadomości (dowodzi, że kanarek nie może być wygenerowany z wyprzedzeniem). Jeśli kanarek przestaje się aktualizować przez ponad 14 dni, traktuj go jako milczącego: operator może być pod presją przymusu, a ty powinieneś przejść do innego operatora federacyjnego.

Zobacz aktualnego kanarka tego operatora · Klucze PGP operatora

Znalazłeś problem? Zgłoś przez publiczne repo Forgejo, lub szyfrowaną wiadomością na konto morphit łańcucha.