Безопасность

• Пароли хранятся в виде хешей через Supabase Auth.
• Сессии живут в HttpOnly + SameSite=Lax cookies.
• Смена пароля требует подтверждения по email.
• Поддерживаются OAuth-провайдеры (Google).

• Все таблицы с пользовательскими данными защищены Row Level Security: доступ возможен только к собственным записям.
• Фото блюд отдаются по подписанным URL с TTL 1 час — прямые ссылки на бакет невозможны.
• Соединение всегда по HTTPS, HSTS включён на продакшене.

Нашли проблему? Напишите с описанием и шагами воспроизведения. Мы благодарим исследователей и не преследуем ответственное раскрытие, если:

• вы не повредили чужие данные;
• вы дали нам разумное время на фикс перед публикацией;
• вы не использовали уязвимость для извлечения чужих данных.