Security

Безопасность

Nimblo не обещает невозможное. Мы делаем конкретные вещи: временные комнаты, строгие security headers, локальные ключи, подписанные mirror manifest и relay только с временными credentials.

Что уже заложено

  • Комнаты по ссылке и коду имеют отдельные секреты входа.
  • WebSocket принимает только валидного участника комнаты.
  • TURN не открыт публично: credentials выдаются временно.
  • Локальный профиль шифруется и не требует аккаунта.
  • Код личности собеседника можно сверить и сохранить как проверенный контакт.

Что важно понимать

  • Браузерный WebRTC всё равно раскрывает часть сетевых метаданных при установке связи.
  • Скомпрометированное устройство пользователя не входит в защиту MVP.
  • Ссылку приглашения нельзя публиковать: она даёт доступ в комнату.

Следующие усиления

  • Более строгая проверка media E2EE и key rotation.
  • Отдельный внешний uptime и TURN allocation мониторинг.
  • Публичная security history по инцидентам и исправлениям.