JonKazama-Hellion/Hellion-NewTab
1
0
Fork 0
Code Issues 1 Pull Requests Actions Packages Projects Releases 8 Wiki Activity
Files
8dc7a738111d92af8925e525e9f9bba5e7157fa9
Hellion-NewTab/SECURITY.md
T
JonKazama-Hellion 36bf38a92c feat(compat): Opera GX Workaround, Firefox MV3, lokale Fonts und Icon-Update 
- manifest.opera.json mit Service Worker und Content Script fuer Opera GX Speed Dial
- src/js/opera/background.js und redirect.js fuer Tab-Uebernahme
- manifest.firefox.json auf Manifest V3 migriert mit Gecko-ID
- Fonts von Google Fonts API auf lokale WOFF2-Dateien umgestellt (DSGVO)
- Extension-Icons aktualisiert
- SECURITY.md und DISCLAIMER.md ueberarbeitet
2026-03-21 19:08:03 +01:00

2.5 KiB
Raw Blame History

Sicherheitsrichtlinie — Hellion NewTab

Unterstützte Versionen

Version Status
1.2.x Aktiv unterstützt
< 1.2.0 Nicht unterstützt

Sicherheitslücke melden

Wenn du eine Sicherheitslücke in Hellion NewTab findest, melde sie bitte nicht über ein öffentliches GitHub Issue.

Kontakt

E-Mail: kontakt@hellion-media.de

Bitte folgende Informationen angeben:

  • Beschreibung der Schwachstelle
  • Schritte zur Reproduktion
  • Betroffene Version(en)
  • Mögliche Auswirkungen (Datenverlust, XSS, etc.)

Reaktionszeit

  • Bestätigung: Innerhalb von 48 Stunden
  • Ersteinschätzung: Innerhalb von 7 Tagen
  • Fix: Abhängig von Schweregrad, Ziel innerhalb von 14 Tagen

Schweregrad-Einstufung

Stufe Beschreibung Beispiel
Kritisch Datenverlust oder Remote Code Execution Storage-Manipulation durch Dritte
Hoch XSS oder ungewollte Datenübertragung Script-Injection via Bookmark-Import
Mittel Umgehung von UI-Schutzmechanismen Blur-Bypass, Settings-Manipulation
Niedrig Kosmetisch oder theoretisch Edge-Cases ohne praktische Auswirkung

Sicherheitsarchitektur

Datenverarbeitung

  • Keine externe Datenübertragung — Alle Daten bleiben in chrome.storage.local
  • Kein Server-Kontakt — Außer Google Favicons API für Bookmark-Icons
  • Keine Cookies, Sessions oder Tokens
  • Kein Netzwerkzugriff außer Favicon-Abruf

Eingabe-Validierung

  • URL-Validierung bei Bookmark-Erstellung (new URL())
  • JSON-Import: Board- und Bookmark-Struktur wird validiert
  • HTML-Sanitierung via escHtml() und createElement (kein innerHTML für User-Daten)
  • Storage-Quota-Prüfung mit Warnung bei 8 MB+

Permissions

Diese Extension benötigt nur zwei Browser-Permissions:

Permission Grund
storage Boards, Settings und Sticky Note lokal speichern
bookmarks Browser-Lesezeichen für HTML-Import lesen

Keine Permissions für: Tabs, History, Web Requests, Downloads, Clipboard oder Host-Zugriff.

CI/CD-Sicherheit

  • CodeQL — Automatische statische Analyse bei Push und PR
  • Dependency Review — Prüft auf bekannte Schwachstellen in PRs
  • Wöchentlicher Scan — Automatischer CodeQL-Lauf jeden Montag
  • SHA256-Checksummen — Alle Release-Artefakte werden signiert

Hellion DashboardHellion Online Media - Florian Wathling — JonKazama-Hellion

Reference in New Issue View Git Blame Copy Permalink