Seguridad en StreamHub
StreamHub está pensado para correr sobre infraestructura que vos controlás, y la seguridad está diseñada desde el principio, no agregada después. Esta página resume cómo el software protege las credenciales, los datos en tránsito y en reposo, y el acceso a tu instancia. Describe el comportamiento del software en sí — endurecer tu propio despliegue sigue siendo tu responsabilidad.
Credenciales y secretos
Tokens de API guardados sólo como hash
Los tokens de la API REST nunca se persisten en texto plano. Sólo se almacena un digest SHA-256 de cada token, de modo que la base de datos nunca guarda un valor que pueda reutilizarse contra la API.
Hashing de contraseñas con scrypt
Las contraseñas del panel se hashean con scrypt, una función memory-hard diseñada para encarecer los ataques de fuerza bruta y los acelerados por hardware. Las contraseñas en texto plano nunca se almacenan.
Comparaciones de tiempo constante
Los tokens, las firmas y otros secretos se verifican con comparaciones de tiempo constante, para que un atacante no pueda usar el tiempo de respuesta para recuperar un secreto byte a byte.
Integridad y transporte
Webhooks firmados con HMAC
Cada webhook que envía StreamHub va firmado con un HMAC-SHA256 sobre el cuerpo crudo de la petición. Tu endpoint puede verificar la firma con una comprobación de tiempo constante y rechazar todo lo que no haya sido enviado por tu instancia.
TLS en todas partes
El instalador aprovisiona los certificados TLS automáticamente (nginx + certbot, o Caddy) y termina cada superficie pública — panel, API REST, HLS y señalización — sobre HTTPS/WSS por defecto.
Aislamiento y control de acceso
Aislamiento de datos por app
Cada app (tenant) tiene su propia base SQLite para el estado propio de la app y sus propias credenciales de S3 para grabaciones y VOD. Una app no puede leer los datos de otra ni escribir en el bucket de otra.
Listas de IP permitidas/bloqueadas + auto-ban
Una capa de seguridad de red aplica listas de IP permitidas y bloqueadas por app como middleware global antes de la autenticación, y banea automáticamente a las fuentes que superan los umbrales de abuso.
RBAC y cuotas
El control de acceso basado en roles (Casbin) y las cuotas por tenant regulan qué puede hacer cada token y usuario, con un modo de aplicación que podés correr en sólo-log o en aplicación total.
Divulgación responsable
Damos la bienvenida a los reportes de investigadores de seguridad. Si creés haber encontrado una vulnerabilidad en StreamHub, por favor reportala de forma privada para que podamos investigarla y publicar una corrección antes de que se hagan públicos los detalles. Incluí los pasos para reproducirla y, de ser posible, una prueba de concepto. Vamos a acusar recibo de tu reporte y mantenerte al tanto de nuestro avance.
Email: security@streamhub.studio
Para los detalles de configuración — modos de aplicación, verificación de webhooks, opciones de TLS y el módulo de seguridad de red — consultá la documentación.