安全性

ZillaSoft 安全性

我們如何保護支撐您的帳戶、資料和產品的基礎架構。

我們採取的保護措施

這些實踐今日起即已生效，並非未來計劃。

全程 HTTPS

所有流量僅透過 HTTPS 提供。HTTP 請求將被拒絕。HSTS 以最長一年的 max-age 強制執行，以防止協議降級攻擊。

安全標頭

所有回應均包含 X-Content-Type-Options、X-Frame-Options（DENY）、Referrer-Policy（strict-origin-when-cross-origin）以及在 CDN 層級強制執行的嚴格 Content Security Policy。XSS 防護由具有 script-src 'self' 政策的 CSP 處理，而非已棄用的 X-XSS-Protection 標頭。

透過 Auth0 進行身份驗證

所有使用者身份驗證均由 Auth0 透過 PKCE 流程管理。ZillaSoft 不儲存密碼。會話令牌保存在記憶體中，絕不儲存在 localStorage 中。

靜態資料加密

所有 Snipzilla 片段資料均使用 AES-256-GCM 在本機加密。加密金鑰保存在裝置的作業系統金鑰鏈中，不會與資料一起寫入磁碟。即使直接存取底層儲存空間，片段檔案在靜態時也無法讀取。

透過 CDN 全球分發

ZillaSoft 網站透過全球分散的 CDN AWS CloudFront 提供服務。靜態資源從最接近每位訪客的邊緣節點提供，原始伺服器不暴露於公共網際網路。

電子郵件驗證

所有從 zillasoft.io 發出的電子郵件均受 DKIM 簽名和 DMARC 政策強制執行保護，可防止電子郵件欺騙並確保交易和通知郵件的完整性。

機器人和垃圾郵件防護

所有公開表單均使用 Cloudflare Turnstile 在不進行侵入性追蹤的情況下驗證真人提交。次要蜜罐層會在任何請求到達後端之前靜默過濾自動化機器人。

API 請求速率限制

Snipzilla API 對每個端點強制執行速率限制，以防止濫用和暴力破解嘗試。超過閾值的請求在到達應用程式邏輯之前就會被拒絕。

片段留在您的裝置上

Standard 方案使用者的片段資料僅儲存在本機裝置上，絕不傳輸至 ZillaSoft 伺服器。雲端同步包含在 Premium 和 Enterprise 方案中，且預設為啟用。同步的資料在離開您的裝置之前已進行端對端加密。

完整帳戶刪除

使用者隨時可以直接從控制台永久刪除帳戶。刪除會跨所有系統級聯：訂閱被取消、所有儲存的資料從資料庫中清除，以及身份記錄從我們的驗證提供商中移除。不留任何痕跡。

無第三方追蹤

ZillaSoft 網站不載入任何分析、廣告或指紋識別腳本。字體採用自行託管方式，因此不會向 Google Fonts 或類似服務發送請求。本站唯一的外部資源是 Cloudflare Turnstile，僅用於表單的機器人防護。

絕不記錄鍵盤輸入

Snipzilla 需要全域鍵盤鉤子來偵測您在輸入時設定的觸發字元。該機制與鍵盤記錄器使用的相同，因此有必要直接說明：Snipzilla 只監視您的觸發字元。不會記錄、儲存、傳輸或分享任何按鍵。鉤子僅用於偵測展開觸發器，別無其他用途。

端對端加密同步

雲端同步的片段資料使用 AES-256-GCM 進行端對端加密。加密和解密完全在您的裝置上進行。伺服器只儲存無法讀取的密文。首次同步時會產生復原碼，請妥善保存以便在新裝置上恢復存取。所有資料在傳輸過程中也受 HTTPS 保護。

負責任的漏洞披露

發現安全問題了嗎？請告訴我們。在公開披露之前，請私下回報漏洞。

/.well-known/security.txt 提供 security.txt 檔案，以安全研究人員的標準格式列出我們的聯絡資訊。

如何回報

透過我們的安全聯絡表單（主旨選擇「安全性」）提交報告。報告將轉至私密頻道，絕不公開顯示。
我們承諾在兩個工作天內確認收到您的報告，並根據嚴重程度在 30 天內提供修復或緩解方案。
請給我們時間在公開披露之前解決問題。遵循負責任披露實踐的研究人員將獲得適當的致謝。

如果您偏好電子郵件，也可以直接聯繫 [email protected]。兩個管道均指向同一個私密安全信箱。

未來計劃

SOC 2 Type II 審計

計劃在初始產品發布後進行。審計期間將在建立足以證明流程和成本合理的穩定用戶基礎後開始。

第三方安全驗證

獨立安全評估將作為企業就緒路線圖的一部分進行安排。

macOS 支援

Snipzilla 目前支援 Windows 和 Linux。macOS 支援已列入路線圖，將在符合程式碼簽名和平台認證要求後發布。

第三方无障碍审计

计划进行符合 WCAG 2.1 AA 级别的独立审计，以正式验证 ZillaSoft 所有产品和网站在无障碍方面的承诺。

Stashzilla 剪贴板管理器

面向 Windows 和 Linux 的以隐私为核心的桌面剪贴板管理器，目前正在开发中。具有全局搜索覆盖层、AI 驱动的剪辑标签功能以及与 Snipzilla 的深度集成。

本頁面的變更

安全實踐可能會隨時間更新。

變更類型通知

輕微（修正錯字、釐清、法律要求）更新「最後更新」日期，立即生效

重要（新實踐、資料處理、第三方）生效日期前至少 14 天透過電子郵件通知