الإفصاحُ المسؤول
وجدتَ مشكلةً أمنيّة؟
نأخذ كلَّ بلاغٍ بجديّة — منصّةٌ موجَّهةٌ للأطفال فيها تحريرُ محتوى وقائمةُ مراجعةٍ علميَّة تستقطبُ اهتمامَ الباحثين، ونفضِّلُ أن نسمعَ منك لا من تويتر. هذه هي السياسة.
كيف تُبلِّغ
أرسل تقريرًا واضحًا (ماذا، أين، خطواتُ إعادة الإنتاج، الأثر) إلى moderation@azhar-platform.example. أرفِق تسجيلَ شاشةٍ أو تتبُّعَ HTTP إن أمكن. رجاءً لا تَنشر الاكتشافَ علنًا حتى نُتاحَ لنا فرصةُ الإصلاح.
أرسل بلاغًاما نَعِدُ به
- نُؤكِّدُ استلامَ كلِّ بلاغٍ خلال يومَي عملٍ.
- نُصنِّفُ الخطورةَ خلال ٥ أيام عملٍ.
- نُصلِحُ الحرجَ خلال ٧ أيام؛ والعالي خلال ٣٠ يومًا؛ والمتوسط والمنخفض في دورةِ الإصدارِ التالية.
- نَنسِبُ الفضلَ علنًا (في سجلِّ التغييرات وملف security.txt) بعدَ نزولِ الإصلاحِ إن شئتَ — والإخفاءُ مقبولٌ أيضًا.
ضمنَ النطاق
- تجاوزُ المصادقةِ أو الجلسات
- ثغراتُ التفويض — قراءةُ أو كتابةُ بياناتٍ ليست لك (لكلِّ مستخدمٍ، لكلِّ أسرة، أو لإدارةِ العلماء)
- الحقن (SQL، NoSQL، أو حقنُ تعليماتٍ يَهربُ من تعليماتنا النظاميَّة)
- حقنُ HTML أو XSS مُخزَّن على أيِّ سطحٍ معروض
- تجاوزُ حدِّ الاستخدام، أو قائمةِ بلاغاتِ الإساءة، أو خطِّ المراجعةِ العلميَّة
خارجَ النطاق
- الهندسةُ الاجتماعيَّةُ أو الاصطيادُ الإلكتروني للموظفين
- الهجماتُ الماديَّةُ على البِنية التحتيَّة
- تجاربُ حجبِ الخدمةِ ضدَّ النشرِ الإنتاجيِّ (اختبِر محلِّيًّا)
- اكتشافاتٌ في خدماتِ الطرفِ الثالثِ التي نَعتمدُها (أبلِغ Firebase وPinecone وAnthropic وOpenAI مباشرةً)
شكرًا لحفاظِك على أمانِ العائلاتِ والعلماء. نحنُ فريقٌ صغيرٌ وبلاغاتُك تجعلُ المنصَّةَ أفضل.