Harbinger ExplorerHarbinger Explorer

Vulnerability-Disclosure-Policy

So melden Sie eine Sicherheits-Schwachstelle. Spiegelung unter /.well-known/security.txt für die maschinelle Auffindbarkeit.

Version 1.0Wirksam ab 2026-04-17Trust-Hub

Schnellzugriff. Meldekanal: security@harbingerexplorer.com. Öffentliche Adresse dieser Seite: https://www.harbingerexplorer.com/de/trust/vdp. Maschinen-lesbare Spiegelung: https://www.harbingerexplorer.com/.well-known/security.txt.

1. Geltungsbereich

Diese Policy umfasst den Produktiv-Dienst unter https://www.harbingerexplorer.com und alle von uns betriebenen Subdomains.

Außerhalb des Geltungsbereichs:

  • Drittdienste, von denen wir abhängen (Vercel, Firebase, Stripe, Vertex AI, Sentry, Loops, Canny). Bitte direkt bei diesen Anbietern über deren veröffentlichte Kanäle melden.
  • Test-/Staging-Umgebungen ohne öffentliche Erreichbarkeit.
  • Findings, die einen privilegierten Kunden-Account-Kompromiss als Voraussetzung haben.

2. Safe-Harbour

Wir leiten keine rechtlichen Schritte ein und ersuchen keine Strafverfolgung gegen Researcher, die in gutem Glauben dieser Policy folgen. Insbesondere gelten innerhalb des Geltungsbereichs folgende Aktivitäten als autorisiert:

  • Testen und Nachweisen von Sicherheits-Schwachstellen;
  • temporäre Aufbewahrung von Demonstrations-Belegen (Proof-of-Concept-Payloads);
  • Dekompilierung, Debugging oder Instrumentierung der öffentlich ausgelieferten JavaScript-Bundles zu Forschungszwecken.

3. Verpflichtungen der Researcher

Im Gegenzug bitten wir um:

  • Schutz der Privatsphäre. Keine fremden Daten ansehen, ändern oder löschen. Bei Berührung mit personenbezogenen Daten: stoppen, nur das zur Demonstration Nötige aufbewahren und sofort melden.
  • Vermeidung von Service-Degradation. Keine DoS, keine automatisierten Brute-Force-Kampagnen, keine Beeinträchtigung anderer Kunden.
  • Offizieller Kanal. E-Mail an security@harbingerexplorer.com (PGP-Key referenziert in /.well-known/security.txt).
  • Angemessene Disclosure-Frist. Wir verpflichten uns zur Triage innerhalb von 5 Werktagen. Eine öffentliche Disclosure kann nach Auslieferung des Fixes oder nach 90 Tagen ohne Fix koordiniert erfolgen.

4. Inhalte einer Meldung

  • Klare Beschreibung und Reproduktionsschritte.
  • Betroffene URL(s), HTTP-Methode und Vorbedingungen.
  • Eigene Impact-Einschätzung (CVSS optional, aber willkommen).
  • Bevorzugter Kontaktkanal und ggf. Wunsch nach Credit.

5. Triage und Belohnung

Wir betreiben aktuell kein monetäres Bug-Bounty. Wir verpflichten uns zu:

  • Antwort innerhalb von 5 Werktagen,
  • Triage-Status (angenommen/duplikat/außerhalb des Geltungsbereichs) innerhalb von 10 Werktagen,
  • Credit auf dieser Seite (mit Ihrer Einwilligung) nach Auslieferung des Fixes.

Kritische Findings sind für ein Ermessens-Dankeschön (Harbinger-Merchandise, Swag oder Service-Credit) berechtigt. Sobald das Bug-Bounty-Programm finanziert ist, werden bereits behobene Reports rückwirkend ausgezahlt.

6. Außerhalb des Geltungsbereichs (nicht abschließend)

Folgende Kategorien von Findings sind typischerweise außerhalb des Geltungsbereichs:

  • Fehlende Security-Header ohne zugehörigen praktischen Angriff.
  • Fehlendes Rate-Limiting an nicht-Auth-Endpunkten.
  • Self-XSS, das das Einfügen eines Angreifer-kontrollierten Payloads durch das Opfer voraussetzt.
  • Content-Sniffing ohne ausnutzbares Szenario.
  • Issues in Drittbibliotheken ohne in unserer Deployment ausnutzbaren Pfad.
  • Veröffentlichung öffentlicher Informationen (z. B. Server-Version-Banner) ohne weiteren Impact.

7. Öffentliche Berichterstattung

Die Liste behobener Schwachstellen, ggf. mit CVE-IDs, wird in CHANGELOG.md unter der Überschrift Security je Release veröffentlicht.

Dokumentversion: 1.0 — Wirksam ab: 2026-04-17