WQR
Sigurnost

Sigurnosni centar

WQR gradimo po jednostavnom principu: tvoje tajne ostaju na tvom uređaju. Naši poslužitelji mogu pomoći pri otključavanju i obrani od zloporabe — ali nisu mjesto za pohranu tvog trezora.

Na ovoj stranici
TransparentnostOdgovorno prijavljivanjeAudit i bug bountySigurnosni changelogStatus i incidenti
Transparentnost

Što spremamo (i što ne)

Što spremamo

  • Tvoj WQR trezor ostaje lokalno na tvom uređaju.
  • Ne spremamo sadržaj tvog trezora na naše poslužitelje.
  • Ne spremamo tvoju master lozinku niti ključ koji može otkriti plaintext.

Što logiramo (operativno)

  • Vremenske oznake zahtjeva (za pouzdanost i obranu od zloporabe).
  • Kodovi grešaka i metrike zdravlja usluge.
  • Rate-limit / abuse signali (za zaustavljanje brute-forcea i zloupotrebe).
Ne logiramo plaintext lozinke, dešifrirane tajne ili sadržaj payloadova.
Zadržavanje: Operativne logove čuvamo samo koliko je potrebno za rad, obranu i istragu zloporabe. Ako incident zahtijeva dulju istragu, incident‑logove možemo zadržati dulje.

Gdje rade poslužitelji

Objavit ćemo točne regije kad proizvod bude live. Naš je smjer držati sigurnosnu infrastrukturu u jurisdikcijama prijateljskim prema privatnosti kad god je izvedivo.

Podizvođači

Kad se oslanjamo na infrastrukturne pružatelje (hosting, CDN/DDoS, email), navest ćemo ih ovdje kako bi korisnici mogli donijeti informiranu odluku.

Kako komuniciramo incidente

Veće incidente objavit ćemo kroz status sekciju niže i, kad je prikladno, kroz obavijesti na stranici.

Sigurnost

Politika odgovornog prijavljivanja

Pozdravljamo dobronamjerne sigurnosne prijave. Ako misliš da si pronašao ranjivost, prijavi je privatno kako bismo je mogli istražiti i odgovorno popraviti.

Kako prijaviti

  • Email: security@whyqr.de
  • Uključi: korake za reprodukciju, pogođene verzije, utjecaj i siguran proof-of-concept (ako je primjenjivo).
  • Ako su uključeni osjetljivi podaci, opiši problem bez izlaganja podataka drugih korisnika.

Sigurna luka

  • Postupaj u dobroj vjeri i izbjegavaj kršenja privatnosti.
  • Izbjegavaj ometanje usluge (bez destruktivnog testiranja, bez masovnog skeniranja).
  • Daj nam razumno vrijeme da popravimo prije javne objave.

U opsegu (primjeri)

  • Slabosti u autentikaciji / autorizaciji
  • Greške u enkripciji i rukovanju ključevima
  • Izlaganje podataka (klijent ili poslužitelj)
  • Zaobilaženje rate-limita / putevi zloporabe
  • Klijentske ranjivosti koje mogu izložiti tajne

Izvan opsega (primjeri)

  • Socijalni inženjering bez tehničke ranjivosti
  • Fizički napadi bez tehničke slabosti
  • Spam prijave bez dokazive reprodukcije
Odgovor: Cilj nam je brzo potvrditi prijavu (tipično unutar nekoliko radnih dana), zatim trijažirati i prioritizirati popravke prema ozbiljnosti. Ako želiš credit, reci nam kako želiš biti naveden.
Validacija

Audit i bug bounty

Povjerenje je jače kad je provjereno. Naš cilj je podržati neovisnu validaciju kako rastemo — počevši s jasnom politikom prijava, zatim auditima i bug bounty programom kako resursi dopuštaju.

Neovisni audit

Planirano

Područja fokusa audita (planirano):

  • Korištenje kriptografije i rukovanje ključevima
  • Server‑gated mehanizam otključavanja
  • Pohrana na klijentu i rukovanje memorijom
  • Kontrole zloporabe i rate limiting
  • Integritet ažuriranja / izdanja

Bug bounty

Planirano

Očekujemo krenuti s ograničenim programom i s vremenom ga širiti. Nagrade mogu početi male (npr. pretplata ili fiksne nagrade) i rasti kako proizvod sazrijeva.

Za sada je najbolji put odgovorno prijavljivanje putem security@whyqr.de.

Transparentnost

Sigurnosni changelog

Objavljujemo sigurnosna poboljšanja i popravke kako bismo pokazali kontinuirani napredak — bez objavljivanja uputa za exploit. Kada promjena zahtijeva radnju korisnika, to ćemo jasno reći.

Format

YYYY-MM-DD — Verzija X.Y.Z
- Popravljeno: <što se promijenilo>
- Ojačano: <što je poboljšano>
- Promijenjeno: <ponašanje ili defaulti>
- Napomene: <što korisnici trebaju napraviti>
Popravke opisujemo bez step-by-step uputa za exploit.

Unosi

Uskoro

Unose ćemo objavljivati kako se izdanja stabiliziraju. Do tada će se sigurnosno relevantne promjene sažimati u release bilješkama i na ovoj stranici.

Pouzdanost

Status i incidenti

Budući da WQR koristi server shield za otključavanje, dostupnost je važna. Ova sekcija objašnjava što pratimo i kako komuniciramo incidente.

Komponente

  • API (unlock shield i sigurnosne operacije)
  • Web stranica
  • Distribucija preuzimanja
  • Support inbox

Trenutni status

Info

Planirana je zasebna status stranica. Dok ne bude live, ovdje ćemo objavljivati veće incidente i odgovarati kroz podršku.

Trebaš pomoć sada? Kontaktiraj support@whyqr.de.

Prošli incidenti

Još ništa objavljeno

Kad se incidenti dogode, objavit ćemo: datum, trajanje, sažetak utjecaja i korake mitigacije — bez izlaganja osjetljivih obrambenih detalja.

Kontaktiraj podrškuPročitaj sigurnosni model