Ця сторінка описує security policy, межі дозволеного тестування, модель безпеки сайту та процес відповідального повідомлення про технічні проблеми ZVM Labs.

Коротко

  • ZVM Labs - статичний Hugo-сайт без акаунтів, платежів, коментарів або особистих кабінетів.
  • Feedback працює через mailto: і не зберігає повідомлення в базі даних сайту.
  • Сайт використовує security headers, security.txt і мінімальний набір зовнішніх сервісів.
  • Агресивне сканування, exploitation, brute force, social engineering і disruption заборонені.
  • Security reports приймаються на [email protected].

Scope

У межах цієї policy:

  • основний домен zvm.uk;
  • сторінки, assets і статичні файли, опубліковані цим репозиторієм;
  • /.well-known/security.txt;
  • feedback flow, який відкриває email-клієнт користувача.

Поза scope:

  • сторонні платформи, на які сайт посилається: GitHub, LinkedIn, X, Bluesky, Mastodon, TryHackMe, HackTheBox, pwn.college, Telegram, Facebook;
  • інфраструктура email-провайдерів, hosting provider, DNS provider або analytics provider, якщо проблема не спричинена конфігурацією ZVM Labs;
  • профілі автора на зовнішніх сервісах, якщо вони не є частиною цього сайту.

Allowed Testing

Дозволено:

  • пасивний review публічного HTML, CSS, JS, headers і security.txt;
  • перевірка broken links, mixed content, некоректних security headers або privacy disclosures;
  • неінвазивна перевірка CSP, referrer policy, clickjacking protections і static asset exposure;
  • повідомлення про вразливість без exploitation реальних користувачів або сторонніх сервісів.

Prohibited Activity

Заборонено:

  • DoS/DDoS, load testing, aggressive scanning або fuzzing проти production;
  • exploitation, persistence, privilege escalation або спроби несанкціонованого доступу;
  • phishing, social engineering або атаки на email/social accounts;
  • credential stuffing, brute force або password spraying;
  • спроби отримати, змінити, видалити або опублікувати дані третіх осіб;
  • публічне розкриття потенційної вразливості до узгодження.

Якщо ви не впевнені, чи дія дозволена, спочатку напишіть на [email protected].

Reporting Process

Надішліть повідомлення на [email protected] з темою:

1

Security report - zvm.uk - [short summary]

Бажано додати:

  • URL або asset, якого стосується проблема;
  • короткий опис ризику;
  • кроки відтворення без destructive дій;
  • browser, tool version або request sample, якщо доречно;
  • impact і suggested remediation;
  • чи потрібна вам attribution після виправлення.

Не надсилайте passwords, private keys, tokens, session cookies, personal data або confidential third-party data. Якщо для пояснення проблеми потрібен sensitive artifact, спочатку узгодьте безпечний спосіб передачі.

Response Expectations

ZVM Labs є персональним блогом, тому response time не гарантується як у commercial bug bounty program.

Орієнтир:

  • первинний перегляд report - за можливості протягом 7 днів;
  • уточнення scope або impact - залежно від складності;
  • виправлення - залежно від ризику, доступності автора та технічної складності.

ZVM Labs не є bug bounty program і не гарантує винагороду за reports.

Site Security Model

Архітектурна модель:

  • статичний Hugo build;
  • немає server-side login flow, коментарів, платежів або user-generated content storage;
  • feedback реалізований через mailto:;
  • search працює по згенерованому JSON index;
  • page view counter використовує GoatCounter для агрегованої статистики переглядів статей;
  • public profiles і social links ведуть на зовнішні платформи.

Основні ризики:

  • supply chain ризик теми, build tooling, assets і зовнішніх scripts;
  • помилки CSP або security headers;
  • DNS/hosting/email compromise поза кодом сайту;
  • accidental disclosure у статтях, screenshots, code snippets або feedback;
  • застарілі legal/privacy/security disclosures.

Поточні controls:

  • security headers у static/_headers;
  • security.txt з contact і canonical policy;
  • privacy/legal/security сторінки;
  • editorial checklist для disclosure, secrets, personal data і security scope;
  • мінімізація функціональності: немає акаунтів, платежів, коментарів або server-side form storage.

Headers and CSP

Сайт використовує HSTS, nosniff, DENY для framing, referrer policy, permissions policy та CSP.

Поточний CSP залишає unsafe-inline, тому що тема і локальні Hugo templates все ще мають inline scripts для theme toggle, navigation behavior, visual theme control, feedback mailto handling і GoatCounter integration. Це відомий hardening backlog.

Наступний бажаний крок:

  • винести власні inline scripts в asset bundle;
  • мінімізувати inline JavaScript теми;
  • перейти на hash-based або nonce-compatible CSP, якщо hosting pipeline дозволить;
  • зменшити script-src до self і явно дозволених зовнішніх джерел без unsafe-inline.

Analytics and Third-Party Scripts

GoatCounter використовується для privacy-friendly агрегованої статистики переглядів статей, не для реклами або behavioral profiling.

Supply-chain варіант для майбутнього hardening:

  • self-host GoatCounter;
  • або вимкнути зовнішній script і покладатися на server-side logs;
  • або залишити GoatCounter, але регулярно перевіряти CSP, privacy notice і dependency behavior.

Security Labels for Posts

Cybersecurity публікації можуть містити security labels у front matter:

1
2
3
4

security:
  scope: "Lab only"
  intent: "Educational / defensive"
  disclosure: "No real targets"

Ці labels мають допомагати читачу швидко зрозуміти межі матеріалу: lab, defensive, conceptual, responsible disclosure або no exploit details.

Дата останнього оновлення: 5 червня 2026 року.