Sicherheit
Authentifizierung
Abschnitt betitelt „Authentifizierung“- Sichere Anmeldung über Apple, Google oder E-Mail/Passwort.
- Passwörter werden von Firebase Authentication verwaltet und niemals im Klartext gespeichert.
- Die Anmeldung über Apple und Google verwendet Standard-OAuth-2.0-Protokolle.
Daten bei der Übertragung
Abschnitt betitelt „Daten bei der Übertragung“Die gesamte Kommunikation zwischen der App, dem Web-Dashboard und den Servern ist mit HTTPS/TLS verschlüsselt. Keine Daten werden unverschlüsselt übertragen.
Daten im Ruhezustand
Abschnitt betitelt „Daten im Ruhezustand“Ihre Cloud-Daten werden auf der Google Cloud (Firebase)-Infrastruktur in der Europäischen Union gespeichert. Google Cloud wendet Verschlüsselung im Ruhezustand für alle gespeicherten Daten an.
Freigegebene Berichte
Abschnitt betitelt „Freigegebene Berichte“- Freigegebene Berichte sind durch ein von Ihnen festgelegtes Passwort geschützt.
- Passwörter werden serverseitig überprüft (SHA-256-Hash-Vergleich). Das Klartext-Passwort wird niemals gespeichert.
- Anzeigelinks verwenden signierte HMAC-Tokens mit begrenzter Gültigkeitsdauer (1 Stunde).
- Brute-Force-Schutz sperrt den Zugriff nach 5 fehlgeschlagenen Versuchen für 15 Minuten.
Sicherheitsheader
Abschnitt betitelt „Sicherheitsheader“Das Web-Dashboard und der Berichts-Viewer wenden HTTP-Sicherheitsheader an:
- X-Frame-Options: DENY — Verhindert das Einbetten in nicht autorisierte iFrames.
- X-Content-Type-Options: nosniff — Verhindert die fehlerhafte Interpretation von Dateitypen.
- Referrer-Policy: strict-origin-when-cross-origin — Begrenzt die bei der Navigation geteilten Informationen.
Ein Sicherheitsproblem melden
Abschnitt betitelt „Ein Sicherheitsproblem melden“Wenn Sie eine Sicherheitslücke entdecken, kontaktieren Sie uns unter contact@photoreport.app. Wir werden Ihre Meldung vorrangig behandeln.