کلیدهای API و دسترسی
دسترسی به API با کلیدهای صادر شده برای حساب انجام می شود. کلیدها باید فقط در محیط امن backend نگهداری شوند و در مرورگر، اپلیکیشن کلاینت یا مخزن عمومی قرار نگیرند.
امنیت
امنیت سرویس نویدا
امنیت نویدا بر کنترل دسترسی، نگهداری امن credentialها، امضای وبهوک و کاهش سطح دسترسی غیرضروری در عملیات OTP متمرکز است.
آخرین بهروزرسانی: ۱۴۰۵/۰۳/۱۰
وبهوک های امضاشده
رویدادهای وبهوک با header امضا ارسال می شوند تا گیرنده بتواند اصالت payload را بررسی کند. برای کاهش ریسک replay، timestamp و secret وبهوک باید در سمت گیرنده اعتبارسنجی شود.
محدودسازی ریسک عملیاتی
محدودیت نرخ، تفکیک hostهای API و وب، کنترل CSRF در داشبورد و پنهان سازی مسیرهای خصوصی از موتورهای جستجو بخشی از کنترل های عملیاتی سرویس هستند.
گزارش آسیب پذیری
اگر مشکل امنیتی در نویدا پیدا کردید، لطفا جزئیات فنی و مسیر بازآفرینی را از طریق ایمیل یا کانال های پشتیبانی ارسال کنید تا با اولویت بررسی شود.
ارتباط
برای پرسش درباره این صفحه یا هماهنگی حقوقی و امنیتی، از صفحه تماس با تیم نویدا ارتباط بگیرید.