DroneEye — The Sky Where Every Flight Becomes a Mission
Sicherheit

Sicherheit bei DroneEye

Wir nehmen die Sicherheit Ihrer Daten ernst. So schützen wir die Plattform.

Zuletzt überprüft: April 2026

Sicherheitspraktiken

Authentifizierung

  • JWT-basierte Zugriffstoken mit kurzer Ablaufzeit
  • Refresh-Token in HttpOnly-Cookies gespeichert
  • Token-Rotation bei jeder Aktualisierung
  • Automatischer Logout bei Token-Ablauf oder ungültiger Signatur
  • Rollenbasierte Zugriffskontrolle (CLIENT, PILOT, ADMIN)

Datenverschlüsselung

  • Alle Daten werden über TLS 1.2+ verschlüsselt
  • Passwörter werden vor der Speicherung mit bcrypt gehasht
  • Session-Cookies sind als Secure und HttpOnly markiert
  • Sensible Dokumentdateien werden mit Zugriffskontrolle gespeichert

Infrastruktur

  • Backend-Dienste laufen in isolierten Containern
  • Datenbank ist nicht direkt aus dem Internet zugänglich
  • Datei-Uploads werden vor der Speicherung auf Typ und Größe validiert
  • Rate-Limiting auf Authentifizierungsendpunkte angewendet

Datenschutz durch Design

  • Es werden nur die minimal erforderlichen Daten pro Operation gesammelt
  • Profildaten sind nur für authentifizierte, autorisierte Benutzer sichtbar
  • Der Admin-Zugriff auf Benutzerdaten wird protokolliert
  • Soft-Delete wird verwendet — Daten werden kurz aufbewahrt

Dokumentensicherheit

  • Piloten-Qualifikationsdokumente sind serverseitig gespeichert
  • Dokument-URLs werden serverseitig validiert
  • Admins überprüfen alle eingereichten Dokumente — kein automatisches Vertrauen

Anwendungssicherheit

  • Alle API-Eingaben werden mit Bean Validation (Jakarta) validiert
  • SQL-Injection wird durch JPA-parametrisierte Abfragen verhindert
  • CORS ist konfiguriert, um Cross-Origin-Zugriff einzuschränken
  • CSRF-Schutz über SameSite-Cookie-Richtlinie

Verantwortungsvolle Offenlegung

Wenn Sie eine Sicherheitslücke entdecken, bitten wir Sie, diese privat zu melden.

Bitte versuchen Sie nicht, auf Daten anderer Benutzer zuzugreifen oder automatisierte Scanner zu betreiben.

Unsere Verpflichtungen gegenüber Forschern

  • Wir prüfen alle Sicherheitsberichte innerhalb von 2 Werktagen
  • Wir werden keine rechtlichen Schritte gegen gutgläubige Forscher einleiten
  • Wir bestätigen bestätigte Probleme und beschreiben die Lösung
  • Wir bitten darum, Probleme nicht öffentlich zu machen, bis wir sie behoben haben

Eine Schwachstelle melden

Senden Sie eine detaillierte Beschreibung an unser Sicherheitsteam über das Kontaktformular.

Ein Sicherheitsproblem melden