Güvenlik Politikası

Uygulamanın kaynak kodunda ve veritabanı yollarında üçüncü parti hassas API anahtarları düz metin (plain text) olarak sunucuya açık şekilde barındırılmaz. İstemci (Client) tarafında bulunan anahtarlar ise yalnızca HMAC imzalama algoritması için yerel olarak kullanılır ve asla ağ üzerinde çıplak bir şekilde taşınmaz.

Clofthel sunucuları dışarıya tamamen kapalıdır. Yetkisiz girişleri önlemek için aşağıdaki mimari kullanılır: • HMAC-SHA256 İmzalama: Her API isteği dinamik olarak üretilen Zaman Damgası (Timestamp) ve Rastgele Üretilen Metin (Nonce) ile imzalanır. • Gizli Anahtar Maskeleme: APK decompile edildiğinde doğrudan kelime aramasıyla ele geçirilmesini zorlaştırmak amacıyla karakter kodları tablosu halinde saklanır. • Hermes Bytecode Koruması: Üretim APK çıktısında JavaScript kodları optimize edilmiş bytecode formatına dönüştürülür. • Replay Attack Koruması: 15 saniyeden eski istekler otomatik olarak reddedilir. • MitM Koruması: İmza algoritması cihazın yerel belleğinde çalışır ve ağ izleme araçlarıyla çözülemez.

• Şifreleme (At Rest): Veritabanımıza kaydedilen tüm kullanıcı şifreleri tek yönlü güçlü bcrypt algoritmalarıyla "tuzlanarak" (salting) şifrelenir. • Aktarım (In Transit): Sunucumuz ile kullanıcının cihazı arasındaki tüm bağlantılar HTTPS / SSL üzerinden gerçekleşir, aradaki veri kesinlikle dinlenemez. • Cihaz Seviyesi: Kullanıcının oturum erişim anahtarı (JWT), Native seviyesinde şifrelenmiş bellek yöneticileriyle cihazda tutulur.

• NoSQL Injection Koruması: Zararlı kod barındıran MongoDB sorgularını temizleyen aktif bir filtre devrededir. • XSS Clean: Formlardan gelebilecek HTML/JavaScript sızıntıları otomatik olarak silinir. • Rate Limiting & IP Blocking: Sunucumuzu gereksiz yere yorarak DDoS veya şifre kırmaya çalışan sistemlerin IP adresleri kalıcı olarak bloke edilir. • Web Sitesi Yazma Kısıtlamaları: Clofthel web sitesi üzerinden sunucu veritabanına doğrudan veri yazılamaz. Kayıt ekleme veya güncelleme uç noktaları özel API anahtarlarıyla korunur. • Web İzolasyonu: Anime izleme modülü web sitesinden tamamen kaldırılmıştır. Videolar yalnızca özel ve şifrelenmiş uygulamalardan izlenebilir.

Eğer Clofthel sisteminde bir güvenlik açığı tespit ettiğinizi düşünüyorsanız, lütfen bu durumu halka açık yerlerde (Forumlar, GitHub vb.) paylaşmadan önce, sorunu güvenli bir şekilde bizimle paylaşın. Bildirimleriniz ekibimiz tarafından acil kod ile incelenir ve hızlıca yama uygulanır. Uygulamayı güvenli kıldığınız ve kurallara uyduğunuz için teşekkür ederiz.