ar

الأمان في gottrix

يعالج gottrix.app الملفات محلياً بنسبة 100% في متصفحك: لا يملك كود التحويل أي إمكانية وصول إلى أي خادم خارجي (مفروض عبر Content-Security-Policy)، لذا يكون الرفع مستحيلاً تقنياً. يتم التسليم عبر TLS 1.2/1.3 مع HSTS (لمدة عامين)، ومجموعة كاملة من ترويسات الأمان، واستضافة لدى Hetzner في ألمانيا. يمكنك التحقق بنفسك من كل ادعاء في هذه الصفحة.

بنية صفر رفع: الأمان عبر الحذف

تقوم أدوات التحويل عبر الإنترنت المعتادة برفع ملفك إلى خادم، ومعالجته هناك، ثم إرسال النتيجة مرة أخرى - وكل خطوة من هذه الخطوات تمثل سطح هجوم. يزيل gottrix هذه الخطوة الحرجة تماماً: تعمل المحركات (للصور وملفات PDF والصوت والفيديو والمزيد) كـ WebAssembly مباشرة داخل متصفحك. ما لا يُرسَل أبداً لا يمكن اعتراضه في الطريق، ولا يمكن أن يتسرب من أي خادم، ولا يمكن أن يُطالَب به من أي أحد.

يُفرَض هذا عبر البنية لا عبر السياسة، بمنطقتين منفصلتين بشكل صارم: الكود الذي يلمس بايتات ملفك (المحركات وعمال الويب) مقيّد بأصله الخاص عبر Content-Security-Policy ولا يحتوي على أي استدعاءات شبكية - يتحقق اختبار آلي من ذلك مع كل عملية بناء. أما طبقة الصفحة، التي لا ترى ملفاتك أبداً، فلا يمكنها الوصول إلا إلى قائمة سماح موثّقة للتحليلات.

  • المحركات والعمال: صفر بدائيات شبكية، لا مصادر خارجية - تُفحَص بشكل ثابت مع كل عملية بناء.
  • طبقة الصفحة: الطلبات الخارجية تقتصر على قائمة السماح الموثّقة للتحليلات، ولا تشمل أبداً بايتات الملفات.
  • لا بديل عبر الرفع: إذا فشلت المعالجة المحلية، تحصل على رسالة خطأ صادقة - وليس التفافاً عبر الخادم أبداً.
  • إثبات دون اتصال: بعد زيارتك الأولى، تستمر الأدوات في العمل في وضع الطيران - وهو أقوى دليل على أنه لا يُرسَل شيء.

النقل: TLS و HSTS

يُسلَّم الموقع حصرياً عبر HTTPS - بإصدارَي TLS 1.2 و1.3 مع مجموعات تشفير حديثة وشهادات تُدار تلقائياً. يُضبَط HTTP Strict Transport Security (HSTS) بقيمة max-age=63072000 (عامان) شاملاً النطاقات الفرعية: بذلك يفرض المتصفح نفسه HTTPS في كل زيارة مستقبلية. للتوضيح: لا يمر محتوى ملفاتك عبر هذا الاتصال أبداً، لأنه لا يغادر جهازك أبداً - يحمي تشفير النقل تسليم الموقع نفسه.

ترويسات أمان HTTP

يحمل كل استجابة من الخادم مجموعة كاملة من ترويسات الأمان. هذه القيم إعداد وليست أمنية: يوقف اختبار آلي أي نشر تكون فيه ترويسة واحدة مفقودة أو مختلفة.

ترويسات أمان HTTP
الترويسة والقيمةالتأثير
Strict-Transport-Security: max-age=63072000; includeSubDomainsيفرض HTTPS لمدة عامين، شاملاً جميع النطاقات الفرعية.
X-Frame-Options: DENYيمنع تضمين الموقع داخل إطارات خارجية (حماية من clickjacking، مؤمّنة مضاعفاً عبر frame-ancestors في CSP).
X-Content-Type-Options: nosniffيمنع المتصفح من تخمين أنواع المحتوى وتشغيل الملفات كسكربتات.
Referrer-Policy: strict-origin-when-cross-originينقل إلى المواقع الخارجية المصدر فقط على الأكثر، ولا ينقل عناوين URL كاملة أبداً.
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...يعطّل 12 واجهة برمجة تطبيقات (API) للأجهزة والحساسات (الكاميرا، الميكروفون، الموقع، USB وغيرها) التي لا يحتاجها الموقع؛ ولا يبقى مسموحاً سوى وضع ملء الشاشة لأصل الموقع نفسه.
Cross-Origin-Opener-Policy: same-originيعزل نافذة المتصفح عن المواقع الخارجية التي فتحتها.

نص سياسة أمان المحتوى (Content-Security-Policy) الكامل

تمثّل CSP القفل التقني وراء ضمان صفر رفع. تُولَّد من ملف مصدر واحد وتُعرَض هنا مباشرة من هذا المصدر نفسه - جميع التوجيهات البالغ عددها 15، دون اختصار:

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

أداة Google CSP Evaluator (تم التحقق في 09-07-2026): 0 ملاحظة بمستوى خطورة عالٍ. إلى جانب أصل الموقع نفسه، لا يسمح connect-src إلا بقائمة السماح الموثّقة للتحليلات في طبقة الصفحة - بيانات وصفية فقط، وليس محتوى الملفات أبداً.

التحقق المستقل

تم التخطيط بشكل مؤكد لثلاث مراجعات خارجية ستُجرى مقابل النطاق الفعلي عند الإطلاق العام: SSL Labs (إعدادات TLS)، وMozilla Observatory (وضع أمان HTTP)، وsecurityheaders.com (اكتمال الترويسات). لا تُعرَض النتائج وتُربَط إلا بعد إجراء الفحوصات فعلياً - لا يعرض gottrix من حيث المبدأ أي أختام أو تقييمات غير موثَّقة، ويفرض ذلك اختبار آلي في كل عملية بناء.

الاستضافة وموقع البيانات

تُشغَّل الخوادم الأصلية من قبل Hetzner Online GmbH في ألمانيا وتخضع للائحة العامة لحماية البيانات (GDPR). لا يوجد عليها سوى الموقع الثابت: لا حسابات مستخدمين، ولا محتوى ملفات، ولا قاعدة بيانات محتوى. تحتوي سجلات الخادم فقط على بيانات وصول ضرورية تقنياً بفترة احتفاظ قصيرة؛ ويوجد اتفاق لمعالجة البيانات مع Hetzner. ولأن معالجة الملفات تتم محلياً في متصفحك، فإن محتوى ملفاتك لا يصل إلى هذا الموقع بأي حال.

الإحصاءات والموافقة

تبدأ إحصاءات الاستخدام المجهولة (Google Analytics 4 مع Consent Mode v2 Advanced) بجميع الإشارات مضبوطة على الرفض: دون موافقتك، لا يُضبَط أي ملف تعريف ارتباط إحصائي ولا يُنشَأ أي معرّف. مع الموافقة، يُقاس على الأكثر عدد مشاهدات الصفحة ومعرّف الأداة المستخدَمة - ولا تُقاس أبداً أسماء الملفات أو أحجامها أو محتواها. جميع التفاصيل والأسس القانونية موجودة في سياسة الخصوصية.

قراءة سياسة الخصوصية

الأسئلة الشائعة حول الأمان

هل gottrix.app آمن؟

يقوم أمانه على البنية لا على الوعود: تُعالَج الملفات محلياً في متصفحك حصراً ولا تُرسَل إلى أي خادم أبداً - تمنع سياسة أمان محتوى صارمة (Content-Security-Policy) كود التحويل من أي اتصال خارجي. يضاف إلى ذلك بروتوكول TLS 1.2/1.3 مع HSTS، ومجموعة كاملة من ترويسات الأمان، واستضافة في ألمانيا. يمكنك التحقق بنفسك من كل نقطة من هذه النقاط في الكود المصدري، أو تبويب الشبكة، أو عبر اختبار وضع الطيران.

هل تُرفَع ملفاتي أو تُخزَّن في أي مكان؟

لا. يتم التحويل بالكامل في ذاكرة متصفحك؛ ولا توجد أي نقطة نهاية للرفع ولا أي تخزين على جانب الخادم لمحتوى الملفات. ترفض سياسة أمان المحتوى (Content-Security-Policy) كود المحركات والعمال أي اتصال بخوادم خارجية، ويتحقق اختبار آلي من ذلك مع كل عملية بناء. أغلق التبويب، وتختفي البيانات - لا يوجد شيء يجب حذفه على جانب الخادم.

ما التشفير الذي يستخدمه gottrix.app؟

يُسلَّم الموقع حصرياً عبر HTTPS بإصدارَي TLS 1.2 و1.3 مع مجموعات تشفير حديثة؛ ويفرض HSTS بروتوكول HTTPS لمدة عامين شاملاً النطاقات الفرعية. لا يمر محتوى ملفاتك نفسه عبر أي اتصال أبداً، لأنه لا يغادر جهازك أبداً - يحمي تشفير النقل تسليم الموقع والبيانات الوصفية الاختيارية للاستخدام القائمة على الموافقة.

أين تُستضاف الخوادم؟

تُشغَّل الخوادم الأصلية من قبل Hetzner Online GmbH في ألمانيا، بموجب اللائحة العامة لحماية البيانات (GDPR). لا يوجد عليها سوى الموقع الثابت: لا حسابات مستخدمين، ولا محتوى ملفات، ولا قاعدة بيانات محتوى. ولأن المعالجة تتم محلياً في متصفحك، فإن موقع الخادم لا صلة له بمحتوى ملفاتك - فهو لا يصل إليه أبداً في أي لحظة.

كيف يمكنني التحقق بنفسي من ادعاءات الأمان هذه؟

هناك ثلاث طرق لا تتطلب خبرة خاصة: اختبار وضع الطيران (افتح أداة، اقطع الاتصال، وحوّل - يستمر العمل)، وتبويب الشبكة في أدوات المطورين (F12: لا طلب ملف أثناء التحويل)، وترويسات الاستجابة التي يمكن لأي متصفح عرضها. يوجد الدليل خطوة بخطوة في صفحة الإثبات؛ وعند الإطلاق العام، ستُضاف فحوصات خارجية من SSL Labs وMozilla Observatory وsecurityheaders.com.

ما البيانات التي يجمعها gottrix أصلاً؟

دون موافقتك: لا ملفات تعريف ارتباط إحصائية ولا معرّفات على الإطلاق، بل سجلات خادم ضرورية تقنياً فقط بفترة احتفاظ قصيرة. مع الموافقة، تقيس Google Analytics 4 استخداماً مجمّعاً، مثل مشاهدات الصفحة ومعرّف الأداة المستخدَمة؛ ولا تُسجَّل أسماء الملفات أو أحجامها أو محتواها أبداً. توجد الأسس القانونية الكاملة وكيفية سحب الموافقة في سياسة الخصوصية.

كيف يكون ذلك قابلاً للتحقق