# Security Policy

## Поддерживаемые версии

| Версия | Поддержка          |
| ------ | ------------------ |
| 0.1.x  | :white_check_mark: |

## Сообщить об уязвимости

Если вы обнаружили уязвимость в безопасности, пожалуйста:

1. **НЕ создавайте публичный issue**
2. Отправьте email на: [security@example.com]
3. Опишите:
   - Тип уязвимости
   - Шаги для воспроизведения
   - Потенциальное влияние
   - Предложения по исправлению (если есть)

## Безопасность credentials

### Важно

- **НИКОГДА** не коммитьте файлы с credentials в git
- Файлы `credentials` и `.env` уже добавлены в `.gitignore`
- TDLib сессия в `tdlib_data/` содержит токены авторизации — НЕ делитесь этой папкой

### Рекомендации

1. **Используйте XDG config directory**:
   - Храните credentials в `~/.config/tele-tui/credentials`
   - Установите права доступа: `chmod 600 ~/.config/tele-tui/credentials`

2. **Защита сессии**:
   - Папка `tdlib_data/` содержит вашу авторизованную сессию
   - Не копируйте её на другие машины
   - При компрометации — удалите папку и авторизуйтесь заново

3. **Двухфакторная аутентификация**:
   - Настоятельно рекомендуется включить 2FA в Telegram
   - Это защитит ваш аккаунт даже при утечке API credentials

## Известные ограничения

### TDLib
- Приложение использует официальную библиотеку TDLib от Telegram
- Безопасность зависит от актуальности TDLib (автообновление через tdlib-rs)

### Конфигурация
- Конфигурационный файл `config.toml` НЕ содержит чувствительных данных
- Credentials хранятся отдельно в файле `credentials`

## Обновления безопасности

Мы оперативно реагируем на сообщения об уязвимостях и выпускаем патчи в течение:
- **Критические**: 24-48 часов
- **Высокие**: 3-7 дней
- **Средние**: 2-4 недели
- **Низкие**: включаются в следующий релиз

## Спасибо

Мы ценим ваш вклад в безопасность проекта!