SporeLabBETA

Политика приватности

SporeLab — платформа, построенная на принципе минимального сбора данных

No-Logs Policy

SporeLab не ведёт логов пользовательской активности. Мы не отслеживаем, что вы ищете, просматриваете или покупаете. Ваши действия на платформе — ваше личное дело.

Мы НЕ храним

Платёжные реквизиты — карты, крипто-адреса. Все платёжные данные передаются через E2E зашифрованный чат и не касаются наших серверов.

Содержимое чатов — на сервере хранятся только зашифрованные блобы, которые мы не можем расшифровать. Ключи хранятся только на вашем устройстве.

IP-адреса — кроме временного кеша для защиты от брутфорса (TTL 15 минут, затем удаляется).

Историю поиска и просмотров — мы не отслеживаем, что вы ищете или какие страницы посещаете.

User-Agent и цифровые отпечатки — никакого fingerprinting.

Геолокацию — мы не запрашиваем и не используем ваше местоположение.

Минимум для работы

Email + хэш пароля (bcrypt) — для аутентификации. Мы не видим ваш пароль.

Telegram ID — если вы используете вход через Telegram.

Факт заказа (ID, статус, сумма) — без платёжных реквизитов.

Публичные данные товаров и справочника — это контент платформы.

Данные стрейнов — только те, которые продавец сам отметил как публичные.

2FA секрет — зашифрован на сервере, используется только для проверки кодов.

Активные сессии — для управления входами на разных устройствах.

Сквозное шифрование (E2E)

Все чаты между покупателем и продавцом защищены сквозным шифрованием на основе X25519 + XChaCha20-Poly1305 (библиотека tweetnacl).

Как это работает:

  1. При регистрации ваше устройство генерирует пару ключей (публичный + приватный).
  2. Приватный ключ никогда не покидает ваше устройство — хранится в localStorage.
  3. Сообщения шифруются на вашем устройстве перед отправкой.
  4. Сервер хранит только зашифрованный текст и не может его прочитать.
  5. Только получатель может расшифровать сообщение своим приватным ключом.

⚠ При очистке браузера или смене устройства переписка будет потеряна. Рекомендуем экспортировать ключи в настройках безопасности.

Автоматическая очистка

15 минДанные rate-limiting (IP-адреса для защиты от брутфорса)
7 днейНеактивные сессии автоматически завершаются
30 днейЗашифрованные сообщения удаляются после завершения заказа

Используемые технологии шифрования

SporeLab использует проверенные криптографические стандарты. Все операции шифрования выполняются на вашем устройстве — сервер никогда не видит открытый текст.

Обмен ключами

X25519 (Curve25519) — эллиптическая кривая Бернштейна

Шифрование сообщений

XSalsa20-Poly1305 — аутентифицированное шифрование с защитой от подмены

Хранение ключей

Приватный ключ — только на вашем устройстве. На сервере — только публичный ключ.

Криптографическая библиотека: TweetNaCl.js — аудированная реализация NaCl для JavaScript