Security & Responsible Disclosure

Last updated: June 2026

YARORA is a static, client-side application. There is no backend, database, or user account, and trade data never leaves the browser. Security here is about transport, the browser, and the content delivered to it.

Report a vulnerability

Email ceo@yarora.com with a clear description and reproduction steps. Please give us a reasonable time to remediate before any public disclosure. We aim to acknowledge reports on a best-effort basis.

Scope

In scope: yarora.com. Examples of valued reports: XSS or HTML injection via crafted CSV, content-security-policy bypasses, dependency/supply-chain issues, header or transport misconfigurations, and anything that could cause trade data to leave the device.

Out of scope

Volumetric DoS / stress testing.
Findings that require a rooted/compromised device or a malicious browser extension.
Missing headers with no demonstrable impact, or automated-scanner output without a working proof of concept.
Social engineering of the maintainer.

Safe harbor

We will not pursue legal action for good-faith research that respects this policy: that means no privacy violations, no data destruction, no service disruption, and testing only against your own data. If in doubt, ask first.

Hardening summary

HTTPS-only with HSTS (preload); a strict Content-Security-Policy with hash-pinned scripts, Trusted Types, and no remote style/font origins (fonts self-hosted); anti-clickjacking; nosniff; locked Permissions-Policy; COOP/CORP/COEP; all CSV-derived values HTML-escaped; prototype-pollution and file-size/row guards on import; zero runtime dependencies and no build step.

Auf Englisch ansehen → ← Zurück zur Startseite

Sicherheit & Responsible Disclosure

Stand: Juni 2026

YARORA ist eine statische, clientseitige Anwendung. Es gibt kein Backend, keine Datenbank und kein Benutzerkonto, und Trade-Daten verlassen nie den Browser. Sicherheit betrifft hier den Transport, den Browser und die ausgelieferten Inhalte.

Schwachstelle melden

Schreibe eine E-Mail an ceo@yarora.com mit einer klaren Beschreibung und Reproduktionsschritten. Bitte gib uns angemessene Zeit zur Behebung vor einer öffentlichen Offenlegung. Wir bestätigen Meldungen nach bestem Bemühen.

Geltungsbereich

Im Geltungsbereich: yarora.com. Beispiele für wertvolle Meldungen: XSS oder HTML-Injection über manipulierte CSV, Umgehungen der Content-Security-Policy, Abhängigkeits-/Supply-Chain-Probleme, Header- oder Transport-Fehlkonfigurationen und alles, was dazu führen könnte, dass Trade-Daten das Gerät verlassen.

Außerhalb des Geltungsbereichs

Volumetrische DoS-/Stresstests.
Befunde, die ein gerootetes/kompromittiertes Gerät oder eine bösartige Browser-Erweiterung erfordern.
Fehlende Header ohne nachweisbare Auswirkung oder automatisierte Scanner-Ausgaben ohne funktionierenden Proof of Concept.
Social Engineering des Betreibers.

Safe Harbor

Wir gehen nicht rechtlich gegen gutgläubige Forschung vor, die diese Richtlinie respektiert: das heißt keine Datenschutzverletzungen, keine Datenzerstörung, keine Dienstunterbrechung und Tests nur gegen deine eigenen Daten. Im Zweifel frage zuerst.

Härtungs-Zusammenfassung

Nur HTTPS mit HSTS (Preload); eine strikte Content-Security-Policy mit hash-fixierten Skripten, Trusted Types und ohne externe Style-/Schrift-Quellen (Schriften selbst gehostet); Schutz vor Clickjacking; nosniff; gesperrte Permissions-Policy; COOP/CORP/COEP; alle aus CSV abgeleiteten Werte HTML-escaped; Schutz vor Prototype-Pollution sowie Datei-/Zeilen-Limits beim Import; null Laufzeit-Abhängigkeiten und kein Build-Schritt.