安全
我们如何保护你的作品
学术文档需要强保护。以下是 DraftProof 在各层保护数据的方式。
最后更新加密存储
基础设施安全
- 全站 HTTPS:所有到 DraftProof 的连接都使用 TLS 1.2+ 加密。
- 加密存储:文档和报告存储在 Cloudflare R2,并使用服务端加密(AES-256)。
- 托管基础设施:应用运行在 Koyeb 基础设施上,具备网络隔离、自动补丁和 DDoS 缓解。
身份认证
- OAuth 2.0 登录:支持 Google 和 Microsoft 账户。我们不会看到或存储你的密码。
- httpOnly JWT Cookie:会话令牌存储在 httpOnly、Secure、SameSite=Lax Cookie 中。
- 不存储密码:身份认证委托给 Google 和 Microsoft。
文档保护
- 静态加密:所有上传文档都在 Cloudflare R2 中使用 AES-256 加密。
- 传输加密:文件从浏览器到服务器再到存储,全程通过 HTTPS。
- 用户可控删除:你可以随时从仪表盘删除任何文档或报告。
- 访问隔离:每个用户只能访问自己的文档和报告。
付款安全
- Stripe 处理所有卡片数据:信用卡号不会接触我们的服务器。Stripe 已通过 PCI DSS Level 1 认证。
- Webhook 签名验证:Stripe 的付款确认会在处理前进行加密签名验证。
- 基于积分计费:我们跟踪预付积分余额,不在我们侧进行周期扣费或保存付款方式。
应用安全
- 输入验证:所有用户输入会在服务器处理前进行验证和清理。
- CSRF 防护:SameSite Cookie 策略和 OAuth 流程中的 state 参数可防止跨站请求伪造。
- 最小攻击面:我们使用聚焦的技术栈(FastAPI + React)和尽量少的依赖。
负责任披露
如果你发现 DraftProof 的安全漏洞,我们欢迎负责任披露。请将细节发送至 security@draftproof.app,我们会及时回复。