Seguretat a gottrix
gottrix.app processa els fitxers 100% en local al teu navegador: el codi de conversió no té accés a cap servidor extern (imposat per la Content-Security-Policy), de manera que una pujada és tècnicament impossible. El lliurament es fa per TLS 1.2/1.3 amb HSTS (2 anys), un conjunt complet de capçaleres de seguretat i allotjament a Hetzner, a Alemanya. Cada afirmació d'aquesta pàgina la pots verificar tu mateix.
Arquitectura de zero pujada: seguretat per eliminació
Els conversors en línia habituals pugen el teu fitxer a un servidor, el processen allà i et retornen el resultat - cadascun d'aquests passos és una superfície d'atac. gottrix elimina del tot aquest pas crític: els motors (per a imatges, PDF, àudio, vídeo i més) s'executen com a WebAssembly directament al teu navegador. Allò que mai es transmet no es pot interceptar pel camí, no pot filtrar-se de cap servidor i no se li pot exigir a ningú.
Això s'imposa per arquitectura, no per política, amb dues zones estrictament separades: el codi que toca els bytes del teu fitxer (motors i web workers) queda limitat al seu propi origen per la Content-Security-Policy i no conté cap crida de xarxa - una prova automàtica ho verifica a cada build. La capa de pàgina, que mai veu els teus fitxers, només pot accedir a una llista blanca d'analítica documentada.
- Motors i workers: 0 primitives de xarxa, cap origen extern - comprovat de manera estàtica a cada build.
- Capa de pàgina: peticions externes només a la llista blanca d'analítica documentada, mai bytes de fitxer.
- Sense alternativa de pujada: si el processament local falla, reps un missatge d'error honest - mai un desviament pel servidor.
- Prova sense connexió: després de la teva primera visita, les eines continuen funcionant en mode avió - la prova més sòlida que no s'envia res.
Transport: TLS i HSTS
El lloc web es lliura exclusivament per HTTPS - TLS 1.2 i 1.3 amb conjunts de xifratge moderns i certificats gestionats automàticament. HTTP Strict Transport Security (HSTS) està configurat amb max-age=63072000 (2 anys) incloent-hi subdominis: així el navegador imposa HTTPS per si mateix en cada visita futura. Per situar-ho: el contingut dels teus fitxers mai passa per aquesta connexió, perquè mai surt del teu dispositiu - el xifratge de transport protegeix el lliurament del lloc mateix.
Capçaleres HTTP de seguretat
Cada resposta del servidor porta un conjunt complet de capçaleres de seguretat. Els valors són configuració, no aspiració: una prova automàtica interromp qualsevol desplegament en què en falti o difereixi una.
| Capçalera i valor | Efecte |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Imposa HTTPS durant 2 anys, incloent-hi tots els subdominis. |
| X-Frame-Options: DENY | Impedeix incrustar el lloc en marcs externs (protecció contra clickjacking, assegurada doblement mitjançant frame-ancestors a la CSP). |
| X-Content-Type-Options: nosniff | Evita que el navegador endevini tipus de contingut i executi fitxers com a script. |
| Referrer-Policy: strict-origin-when-cross-origin | Transmet com a màxim l'origen a llocs externs, mai URL completes. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Desactiva 12 API de dispositius i sensors (càmera, micròfon, ubicació, USB i més) que el lloc no necessita; només el mode pantalla completa continua permès per al propi origen. |
| Cross-Origin-Opener-Policy: same-origin | Aïlla la finestra del navegador dels llocs externs que l'han obert. |
La Content-Security-Policy sencera
La CSP és el bloqueig tècnic darrere de la garantia de zero pujada. Es genera a partir d'un únic fitxer font i es mostra aquí en directe des d'aquesta mateixa font - totes les 15 directives, sense abreujar:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (comprovat el 09-07-2026): 0 troballes de gravetat alta. A més del propi origen, connect-src només permet la llista blanca d'analítica documentada de la capa de pàgina - metadades, mai contingut de fitxers.
Verificació independent
Hi ha tres revisions externes previstes de manera ferma que s'executaran contra el domini actiu en el llançament públic: SSL Labs (configuració TLS), Mozilla Observatory (posició de seguretat HTTP) i securityheaders.com (integritat de les capçaleres). Els resultats només es mostren i s'enllacen un cop els escanejos s'han executat realment - gottrix, per principi, mai mostra segells o notes no verificats, i una prova automàtica en cada build ho imposa.
Allotjament i ubicació de les dades
Els servidors d'origen els opera Hetzner Online GmbH a Alemanya i estan subjectes al RGPD. Allà només hi ha el lloc web estàtic: cap compte d'usuari, cap contingut de fitxers, cap base de dades de contingut. Els registres del servidor només contenen dades d'accés tècnicament necessàries amb un període de conservació breu; hi ha un contracte d'encàrrec de tractament amb Hetzner. Com que el processament de fitxers té lloc en local al teu navegador, el contingut dels teus fitxers no arriba mai a aquesta ubicació de totes maneres.
Estadístiques i consentiment
L'estadística d'ús anonimitzada (Google Analytics 4 amb Consent Mode v2 Advanced) comença amb tots els senyals establerts en rebutjat: sense el teu consentiment no es configura cap galeta estadística ni es crea cap identificador. Amb consentiment, es mesuren com a màxim les visualitzacions de pàgina i l'identificador de l'eina utilitzada - mai noms de fitxer, mides de fitxer o contingut de fitxers. Tots els detalls i les bases jurídiques són a la política de privacitat.
Preguntes freqüents sobre seguretat
És segur gottrix.app?
La seva seguretat es basa en l'arquitectura i no en promeses: els fitxers es processen exclusivament en local al teu navegador i mai es transmeten a un servidor - una Content-Security-Policy estricta prohibeix al codi de conversió qualsevol connexió externa. A més s'hi afegeixen TLS 1.2/1.3 amb HSTS, un conjunt complet de capçaleres de seguretat i allotjament a Alemanya. Cadascun d'aquests punts el pots verificar tu mateix al codi font, a la pestanya de xarxa o mitjançant la prova en mode avió.
Es pugen o s'emmagatzemen els meus fitxers en algun lloc?
No. La conversió té lloc completament a la memòria del teu navegador; no existeix cap punt final de pujada ni cap emmagatzematge al servidor per al contingut dels fitxers. La Content-Security-Policy denega al codi dels motors i workers qualsevol connexió a servidors externs, i una prova automàtica ho verifica a cada build. Tanca la pestanya i les dades desapareixen - no hi ha res que calgui esborrar al servidor.
Quin xifratge utilitza gottrix.app?
El lloc web es lliura exclusivament per HTTPS amb TLS 1.2 i 1.3 i conjunts de xifratge moderns; HSTS imposa HTTPS durant dos anys incloent-hi subdominis. El contingut dels teus fitxers mateix no passa mai per cap connexió, perquè mai surt del teu dispositiu - el xifratge de transport protegeix el lliurament del lloc i les metadades d'ús opcionals basades en el consentiment.
On s'allotgen els servidors?
Els servidors d'origen els opera Hetzner Online GmbH a Alemanya, sota el RGPD. Allà només hi ha el lloc web estàtic: cap compte d'usuari, cap contingut de fitxers, cap base de dades de contingut. Com que el processament té lloc en local al teu navegador, la ubicació del servidor és irrellevant per al contingut dels teus fitxers - mai hi arriba.
Com puc verificar jo mateix aquestes afirmacions de seguretat?
Tres maneres que no requereixen coneixements especials: la prova en mode avió (obre una eina, desconnecta't, converteix - segueix funcionant), la pestanya de xarxa de les eines de desenvolupador (F12: cap petició de fitxer durant la conversió) i les capçaleres de resposta que qualsevol navegador pot mostrar. La guia pas a pas és a la pàgina de prova; en el llançament públic s'hi afegiran escanejos externs de SSL Labs, Mozilla Observatory i securityheaders.com.
Quines dades recull gottrix en general?
Sense el teu consentiment: cap galeta estadística ni identificadors, només registres del servidor tècnicament necessaris amb un període de conservació breu. Amb consentiment, Google Analytics 4 mesura l'ús agregat, com ara visualitzacions de pàgina i l'identificador de l'eina utilitzada; els noms de fitxer, les mides de fitxer i el contingut de fitxers mai es registren. Les bases jurídiques completes i com retirar el consentiment són a la política de privacitat.