Strict-Transport-Security
HSTS מאלץ כל חיבור ל-parli.family להישאר ב-HTTPS לשנה. שום בקשה לדומיין הזה לא יכולה להידרדר ל-HTTP — גם אם קישור מנסה.
אבטחה ומידע
שקטים מבחוץ. זהירים מבפנים.
אנחנו מעדיפים לכתוב כאן פחות ולכוון אליו — מאשר לטעון יותר ממה שהוכחנו. הדף הזה מסביר מה אתר parli.family עושה היום באמת — ברמת הרשת, הדפדפן, וטופס הגישה המוקדמת — ומה במפורש לא נטען.
במעבר
כל חיבור הוא HTTPS בלבד.
HTTPS נאכף על ידי HSTS עבור כל הדומיין. בקשות HTTP פשוטות מועברות ל-HTTPS בקצה לפני שמוגש תוכן.
בדפדפן
שש כותרי אבטחה, על כל תגובה.
אפשר לאמת כל אחת מהן בעצמכם עם curl -I https://parli.family. סטייה בכותרות נחשבת אצלנו לבאג, לא לפוליש.
Content-Security-Policy
CSP מחמיר. סקריפטים רצים רק מהמקור שלנו, ורק כאלה שה-SHA-256 שלהם פורסם מראש. ללא 'unsafe-inline', ללא 'unsafe-eval'. אין סקריפטים של צד שלישי, אנליטיקה, או פיקסלים פרסומיים.
X-Frame-Options
DENY. לא ניתן להטמיע את האתר בתוך iframe — הגנה מפני clickjacking שמנסה להציג את הדפים שלנו במקום אחר.
Referrer-Policy
strict-origin-when-cross-origin. קליקים יוצאים חולקים רק את המקור (parli.family), לא את ה-URL המלא או נתונים בנתיב/שאילתה.
Permissions-Policy
מצלמה, מיקרופון, מיקום, תשלומים, חיישני תאוצה וג׳יירוסקופ, USB, ושאר ממשקי דפדפן רגישים — כולם מנוטרלים מפורשות. לאתר אין שימוש בהם.
X-Content-Type-Options
nosniff. מונע מהדפדפן לנחש סוג תוכן שונה ממה שהצהרנו, וסוגר וקטור התקפה קטן אך אמיתי.
בלי צד שלישי
האתר הזה לא טוען כלום משום מקום אחר.
אין סקריפטים של אנליטיקה. אין tag managers. אין פיקסלים פרסומיים. אין CDN של פונטים. אין הטמעות של רשתות חברתיות. אין שירותי A/B testing. אין כלי session-replay. ה-CSP מוגדר כך שאם ננסה בטעות להוסיף אחד מאלה — הדפדפן פשוט יחסום.
אנחנו משתמשים בעוגייה קטנה אחת — parli_lang — כדי לזכור את בחירת השפה שלכם בין ביקורים. זו העוגייה היחידה שהאתר הזה מציב, היא לא מכילה מזהה, ואין לה מטרה שיווקית. היא מתועדת במדיניות הפרטיות.
טופס גישה מוקדמת
מה קורה כששולחים את הטופס.
הטופס ב/he/early-access שולח לאותו דומיין. אין ספק טפסים של צד שלישי, אין reCAPTCHA, אין fingerprinting מבוסס JavaScript. שדה honeypot קטן שלא נראה לעין אנושית אבל ממולא אוטומטית על ידי בוטים מאפשר לנו להסיר שליחות זדוניות בשקט בלי להפריע לגולשים אמיתיים.
מה אנחנו מקבלים: כתובת המייל שהקלדתם, השם וההודעה האופציונליים, זמן השליחה, כתובת ה-IP שלכם (לצורך הגבלת קצב בלבד — שלוש שליחות בשעה), ומטא-נתוני בקשה סטנדרטיים שהדפדפן שלכם ממילא שולח. המייל מגיע לhello@parli.family, שם אדם אמיתי קורא ועונה. שום דבר לא מצורף לרשימת תפוצה, לא משותף עם אחרים, ולא נמכר.
אתם יכולים לבקש מאיתנו למחוק את שליחתכם בכל רגע. שלחו מייל לhello@parli.family מהכתובת שבה השתמשתם, ואנחנו נמחק.
שקיפות
מה לא נטען.
אנחנו מעדיפים לטעון טענות צרות ובנות-תמיכה היום, ולזכות באמון עם הזמן.
הצפנה מקצה-לקצה.
האתר משתמש ב-HTTPS במעבר, אך לא יישמנו או הוצאנו לבדיקה E2EE על שום ממשק במוצר. לא נכניס את המילים האלה לדף הזה עד שיהיו נכונות ומאומתות חיצונית.
ציות SOC 2, HIPAA או GDPR.
אלה משטרים פורמליים עם ביקורות פורמליות. לא עברנו אף אחד מהם. אם וכאשר נעמוד בסטנדרט מוכר, נציין אותו עם דו"ח או הפניה לביקורת — ולא לפני.
רשומות מוכנות לבית משפט.
Parli אינה כלי ראיות משפטי. רישומים בתוך האפליקציה לא תוכננו לעמוד בסטנדרטים ראייתיים, ולא נשווק אותם כך.
אלגוריתם הצפנה ספציפי או חוזק מפתח כאמירה שיווקית.
שמות צפנים לא הופכים מידע לבטוח יותר; עיצוב כן. אנחנו מעדיפים לטעון פחות ולזכות באמון לאורך זמן.
יצירת קשר
מצאתם משהו? ספרו לנו.
אם זיהיתם בעיית אבטחה — מכותרת חסרה ועד סטייה בקונפיגורציה — אנא כתבו לנו. נחזור אליכם באופן אישי. בבקשה אל תפרסמו תגיות פומביות לפגיעויות; מייל פרטי מאפשר לנו לתקן ולהוציא שינוי בלי להעמיד גולשים אחרים בסיכון בינתיים.