Tiến độ bảo mật:
0%
🔒 3 bước bảo mật

Bảo vệ Triply & người dùng của bạn

Làm đúng thứ tự, mỗi bước chỉ mất 5–15 phút. Hoàn thành cả 3 bước là app đạt chuẩn bảo mật thương mại.

⚠️
Vấn đề cần giải quyết Firebase API key của bạn nằm trong file triply-firebase.js. Key này an toàn — Firebase dùng Security Rules để kiểm soát — nhưng nếu không giới hạn domain, người khác có thể tạo web khác dùng key của bạn để đăng ký tài khoản giả.
🌐
Bước 1 — Vào Firebase Console Mở Chrome → console.firebase.google.com → Chọn project triply-vn
🔐
Bước 2 — Vào Authentication → Settings Menu trái → Authentication → Click tab Settings ở trên → Kéo xuống phần "Authorized domains"
Bước 3 — Thêm domain Cloudflare của bạn Nhấn "Add domain" → Nhập domain sau (thay bằng domain thật của bạn):
triply-vn.pages.dev
Nếu bạn đã mua domain .vn riêng (ví dụ triply.vn), thêm thêm domain đó:
triply.vn
Nhấn Add sau mỗi domain.
🗑️
Bước 4 — Xóa localhost nếu không cần (tùy chọn) Nếu bạn không còn test trên máy tính nữa, có thể xóa localhost khỏi danh sách. Giữ lại nếu bạn vẫn muốn chạy thử local.
Chỉ có domain Cloudflare của bạn mới gọi được Firebase. Người khác copy key cũng không dùng được.
ℹ️
Tại sao cần Privacy Policy? Về mặt pháp lý: bắt buộc khi thu thập dữ liệu người dùng tại Việt Nam và nhiều quốc gia khác. Về mặt thực tế: người dùng tin tưởng app hơn khi thấy có trang bảo mật rõ ràng. Google/Apple cũng yêu cầu khi lên store.
📄
Bước 1 — Tải file Privacy Policy về File triply-privacy.html đã được tạo sẵn ở đây — tải về và bỏ vào thư mục Triply cùng các file khác.
✏️
Bước 2 — Chỉnh sửa thông tin liên hệ Mở file bằng Notepad → Tìm dòng privacy@triply.vn → Thay bằng email thật của bạn → Lưu
🔗
Bước 3 — Thêm link vào footer của index.html Mở index.html bằng Notepad → Tìm phần footer → Đã có sẵn link "Chính sách bảo mật" — chỉ cần đảm bảo href trỏ đúng:
<a href="triply-privacy.html">Chính sách bảo mật</a>
🔗
Bước 4 — Thêm link vào trang đăng ký (triply-login.html) Trong form đăng ký, thêm dòng chấp nhận điều khoản:
Bằng cách đăng ký, bạn đồng ý với <a href='triply-privacy.html'>Chính sách bảo mật</a> của Triply
Triply có trang Privacy Policy đầy đủ. Người dùng và cơ quan quản lý có thể tra cứu bất cứ lúc nào.
ℹ️
Firebase App Check là gì? Đây là lớp bảo vệ thêm: xác nhận request đến Firebase đến từ đúng app Triply của bạn, không phải script tấn công hay bot. Chỉ cần làm khi app đã có người dùng thật và bạn muốn bảo vệ quota Firebase.
1️⃣
Đăng ký reCAPTCHA v3 (miễn phí) Vào google.com/recaptcha/admin → Đăng nhập Gmail → Tạo site mới:
  • Label: triply-vn
  • reCAPTCHA type: Score based (v3)
  • Domains: thêm triply-vn.pages.dev và domain .vn của bạn
  • Copy Site Key (public key)
2️⃣
Bật App Check trong Firebase Console Firebase Console → project triply-vn → menu trái → App Check → Nhấn "Get started" → Chọn app Web → Chọn provider reCAPTCHA v3 → Dán Site Key vào → Save
3️⃣
Thêm App Check vào triply-firebase.js Mở file bằng Notepad → Thêm vào đầu file (sau import hiện có):
import { initializeAppCheck, ReCaptchaV3Provider } from 'https://www.gstatic.com/firebasejs/10.12.0/firebase-app-check.js'; // Thêm sau: const app = initializeApp(firebaseConfig); const appCheck = initializeAppCheck(app, { provider: new ReCaptchaV3Provider('YOUR_SITE_KEY_HERE'), isTokenAutoRefreshEnabled: true });
Thay YOUR_SITE_KEY_HERE bằng Site Key reCAPTCHA vừa copy.
⚠️
Lưu ý: Sau khi bật App Check và enforce (bắt buộc), mọi request không có token hợp lệ sẽ bị chặn. Test kỹ trên localhost trước khi enforce trên production. Firebase cho phép chạy chế độ "monitoring" trước để xem traffic mà không chặn.
Firebase App Check hoạt động. Bot và script tấn công không thể gọi Firebase của bạn nữa. Quota được bảo vệ.
🔗 Xem lịch trình công khai không cần tài khoản

Tính năng này đã hoạt động trong Triply: