ByteHeavy
ByteHeavy
নিরাপত্তা ও বিশ্বাস
বেশিরভাগ এজেন্সি 'ব্যাংক-লেভেল নিরাপত্তা' বলে দায় সারে। আমরা বরং আপনাকে নির্দিষ্ট বিষয়গুলো দেখাতে চাই — যেসব অংশ এখনও চলমান তা সহ — কারণ একটি অস্পষ্ট প্রতিশ্রুতির চেয়ে যাচাইযোগ্য প্রতিশ্রুতির মূল্য বেশি।

আমাদের টিকিট সিস্টেম PostgreSQL-এ চলে যেখানে Row-Level Security সক্রিয় ও বাধ্যতামূলক করা, এবং একটি নিবেদিত অ্যাপ্লিকেশন রোলের মাধ্যমে সংযুক্ত যা ইচ্ছাকৃতভাবে সুপারইউজার নয়। এর মানে অ্যাক্সেস-কন্ট্রোল নিয়ম ডেটাবেসের ভেতরেই থাকে, শুধু অ্যাপ্লিকেশন কোডে নয়। আমরা এটা সরাসরি পরীক্ষা করেছি: একটি ক্লায়েন্টের ইমেইলে সীমাবদ্ধ একটি সেশন সত্যিই অন্য ক্লায়েন্টের টিকিট পড়তে পারে না, এমনকি ঠিক একই ডেটাবেস কানেকশন ও রোলেও। আমাদের অ্যাপ্লিকেশন কোডের ভবিষ্যতের কোনো বাগ যদি ভুল ডেটা কোয়েরি করার চেষ্টা করে, ডেটাবেস কোয়েরিটি চালানোর আগেই তা প্রত্যাখ্যান করে — আইসোলেশন প্রতিবার সঠিক WHERE ক্লজ লেখা মনে রাখার ওপর নির্ভর করে না।
প্রতিটি রেসপন্সে একটি Content-Security-Policy, HSTS, X-Frame-Options, X-Content-Type-Options এবং একটি সীমাবদ্ধ Permissions-Policy থাকে — ক্লিকজ্যাকিং, MIME-স্নিফিং আক্রমণ এবং XSS-এর একাংশের বিরুদ্ধে মানসম্মত প্রতিরক্ষা। প্রোডাকশন বিল্ড সোর্স ম্যাপ ছাড়াই পাঠানো হয়, তাই আমাদের সোর্স কোডের সঠিক গঠন dev টুল খুলে কাউকে দেওয়া হয় না।
প্রতিটি টিকিট ও কন্টাক্ট ফর্ম এন্ডপয়েন্ট প্রতি IP-তে রেট-লিমিটেড, এবং একটি হানিপট ফিল্ড অন্তর্ভুক্ত করে যা বাস্তব ব্যবহারকারীদের কাছে অদৃশ্য কিন্তু প্রায়ই বট দ্বারা স্বয়ংক্রিয়ভাবে পূরণ হয়ে যায় — এটাতে ধরা পড়া সাবমিশন প্রত্যাখ্যানের বদলে একটি ভুয়া সফলতার রেসপন্স পায়, তাই স্ক্রিপ্টেড অপব্যবহার এমনকি জানতেও পারে না যে সেটা ব্লক হয়েছে। ফ্রন্টএন্ড যা-ই পাস করুক না কেন, ডেটাবেসে পৌঁছানোর আগেই সব ফর্ম ইনপুট একটি কঠোর স্কিমা দিয়ে সার্ভার-সাইডে যাচাই করা হয়।
কোনো ফিচার বাস্তবে আসার আগে সেটা আছে বলে দাবি করব না। টু-ফ্যাক্টর অথেন্টিকেশন (QR কোডসহ TOTP) এবং একটি নিবেদিত Rust-ভিত্তিক অথ/সেশন সার্ভিস ডিজাইন ও পরিকল্পনা করা আছে, কিন্তু এখনও প্রোডাকশনে চলছে না — এখন, টিকিট লুকআপ ইমেইল মিলের মাধ্যমে হয়, যা একটি সুবিধাজনক ব্যবস্থা, পাসওয়ার্ড-মানের লগইন নয়। টিকিটে ফাইল অ্যাটাচমেন্ট ইচ্ছাকৃতভাবে এখনও সাপোর্ট করা হয় না, বিশেষভাবে কারণ আমরা এখনও এর সামনে যে ম্যালওয়্যার-স্ক্যানিং স্তর চাই তা তৈরি করিনি। কোনো ফিচার অনিরাপদভাবে পাঠানোর চেয়ে দেরিতে পাঠানো ভালো।
যদি আপনি কোনো নিরাপত্তা দাবি যাচাই করতে না পারেন, সেটা শুধু মার্কেটিং। আমরা চাই আপনি পারুন।