gottrix में सुरक्षा
gottrix.app फ़ाइलों को आपके ब्राउज़र में 100% स्थानीय रूप से प्रसंस्कृत करता है: रूपांतरण कोड की किसी भी बाहरी सर्वर तक पहुँच नहीं है (Content-Security-Policy द्वारा लागू), इसलिए अपलोड तकनीकी रूप से असंभव है। डिलीवरी HSTS (2 वर्ष) के साथ TLS 1.2/1.3, सुरक्षा हेडर के एक पूर्ण सेट, और जर्मनी में Hetzner पर होस्टिंग के माध्यम से होती है। इस पृष्ठ पर हर दावे को आप स्वयं सत्यापित कर सकते हैं।
शून्य-अपलोड वास्तुकला: उन्मूलन के ज़रिए सुरक्षा
आम ऑनलाइन कन्वर्टर आपकी फ़ाइल को सर्वर पर अपलोड करते हैं, उसे वहाँ प्रसंस्कृत करते हैं और परिणाम वापस भेजते हैं - इनमें से हर चरण एक आक्रमण सतह है। gottrix इस महत्वपूर्ण चरण को पूरी तरह हटा देता है: इंजन (छवियों, PDF, ऑडियो, वीडियो और अधिक के लिए) आपके ब्राउज़र में सीधे WebAssembly के रूप में चलते हैं। जो कभी प्रसारित ही नहीं होता, उसे रास्ते में रोका नहीं जा सकता, किसी सर्वर से लीक नहीं हो सकता, और किसी से माँगा नहीं जा सकता।
यह नीति से नहीं, बल्कि वास्तुकला से लागू होता है, दो कड़ाई से अलग किए गए क्षेत्रों के साथ: आपकी फ़ाइल के बाइट्स को छूने वाला कोड (इंजन और वेब वर्कर) Content-Security-Policy द्वारा अपने ही मूल तक सीमित है और इसमें कोई नेटवर्क कॉल नहीं है - हर बिल्ड में एक स्वचालित परीक्षण इसे सत्यापित करता है। पृष्ठ परत, जो आपकी फ़ाइलों को कभी नहीं देखती, केवल एक दस्तावेज़ीकृत एनालिटिक्स एलाउलिस्ट तक ही पहुँच सकती है।
- इंजन और वर्कर: 0 नेटवर्क प्रिमिटिव, कोई बाहरी मूल नहीं - हर बिल्ड में स्टैटिक रूप से जाँचा जाता है।
- पृष्ठ परत: बाहरी अनुरोध केवल दस्तावेज़ीकृत एनालिटिक्स एलाउलिस्ट तक, फ़ाइल बाइट्स कभी नहीं।
- कोई अपलोड फ़ॉलबैक नहीं: यदि स्थानीय प्रसंस्करण विफल होता है, तो आपको एक ईमानदार त्रुटि संदेश मिलता है - कभी सर्वर के ज़रिए चक्कर नहीं।
- ऑफ़लाइन प्रमाण: आपकी पहली विज़िट के बाद, टूल्स फ़्लाइट मोड में भी काम करते रहते हैं - इसका सबसे मज़बूत प्रमाण कि कुछ भी नहीं भेजा जाता।
ट्रांसपोर्ट: TLS और HSTS
वेबसाइट केवल HTTPS के ज़रिए डिलीवर की जाती है - आधुनिक सिफ़र सूट और स्वचालित रूप से प्रबंधित सर्टिफिकेट के साथ TLS 1.2 और 1.3। HTTP Strict Transport Security (HSTS) सबडोमेन सहित max-age=63072000 (2 वर्ष) के साथ सेट है: इससे ब्राउज़र भविष्य की हर विज़िट पर स्वयं HTTPS लागू करता है। स्पष्टता के लिए: आपकी फ़ाइल की सामग्री इस कनेक्शन से कभी नहीं गुज़रती, क्योंकि यह आपके डिवाइस को कभी नहीं छोड़ती - ट्रांसपोर्ट एन्क्रिप्शन साइट की डिलीवरी को ही सुरक्षित करता है।
HTTP सुरक्षा हेडर
सर्वर की हर प्रतिक्रिया सुरक्षा हेडर का एक पूर्ण सेट साथ लाती है। ये मान एक आकांक्षा नहीं, बल्कि कॉन्फ़िगरेशन हैं: एक स्वचालित परीक्षण किसी भी डिप्लॉय को रोक देता है जिसमें कोई एक हेडर गायब हो या अलग हो।
| हेडर और मान | प्रभाव |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | 2 वर्षों के लिए HTTPS लागू करता है, सभी सबडोमेन सहित। |
| X-Frame-Options: DENY | साइट को बाहरी फ़्रेम में एम्बेड होने से रोकता है (क्लिकजैकिंग सुरक्षा, CSP में frame-ancestors के ज़रिए दोगुनी सुरक्षित)। |
| X-Content-Type-Options: nosniff | ब्राउज़र को कंटेंट टाइप का अनुमान लगाने और फ़ाइलों को स्क्रिप्ट के रूप में चलाने से रोकता है। |
| Referrer-Policy: strict-origin-when-cross-origin | बाहरी साइटों को अधिकतम केवल मूल भेजता है, कभी पूरा URL नहीं। |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | साइट को जिन 12 डिवाइस और सेंसर API की ज़रूरत नहीं (कैमरा, माइक्रोफ़ोन, लोकेशन, USB और अधिक), उन्हें निष्क्रिय करता है; केवल फ़ुलस्क्रीन मोड अपने ही मूल के लिए अनुमत रहता है। |
| Cross-Origin-Opener-Policy: same-origin | ब्राउज़र विंडो को उन बाहरी साइटों से अलग करता है जिन्होंने उसे खोला। |
Content-Security-Policy पूर्ण रूप में
CSP शून्य-अपलोड गारंटी के पीछे तकनीकी ताला है। यह एक ही स्रोत फ़ाइल से जनरेट होती है और यहाँ ठीक उसी स्रोत से लाइव प्रदर्शित होती है - सभी 15 निर्देश, बिना संक्षेप के:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (09-07-2026 को जाँचा गया): उच्च गंभीरता के 0 निष्कर्ष। अपने ही मूल के अलावा, connect-src केवल पृष्ठ परत की दस्तावेज़ीकृत एनालिटिक्स एलाउलिस्ट की अनुमति देता है - मेटाडेटा, कभी फ़ाइल की सामग्री नहीं।
स्वतंत्र सत्यापन
तीन बाहरी समीक्षाओं की पक्की योजना बनाई गई है, जो सार्वजनिक लॉन्च पर लाइव डोमेन के विरुद्ध चलाई जाएँगी: SSL Labs (TLS कॉन्फ़िगरेशन), Mozilla Observatory (HTTP सुरक्षा स्थिति), और securityheaders.com (हेडर की पूर्णता)। परिणाम तभी दिखाए और लिंक किए जाते हैं जब स्कैन वास्तव में चलाए जा चुके हों - gottrix सैद्धांतिक रूप से कभी भी असत्यापित सील या स्कोर नहीं दिखाता, और हर बिल्ड में एक स्वचालित परीक्षण इसे लागू करता है।
होस्टिंग और डेटा का स्थान
मूल सर्वर जर्मनी में Hetzner Online GmbH द्वारा संचालित हैं और GDPR के अधीन हैं। इन पर केवल स्टैटिक वेबसाइट रहती है: न कोई यूज़र अकाउंट, न फ़ाइल की सामग्री, न ही कोई कंटेंट डेटाबेस। सर्वर लॉग में केवल कम अवधि तक रखे जाने वाले तकनीकी रूप से आवश्यक एक्सेस डेटा होते हैं; Hetzner के साथ एक डेटा-प्रोसेसिंग एग्रीमेंट मौजूद है। चूँकि फ़ाइल प्रसंस्करण आपके ब्राउज़र में स्थानीय रूप से होता है, आपकी फ़ाइल की सामग्री वैसे भी इस स्थान तक कभी नहीं पहुँचती।
आँकड़े और सहमति
गुमनाम उपयोग-आँकड़े (Consent Mode v2 Advanced के साथ Google Analytics 4) सभी सिग्नल अस्वीकृत पर सेट के साथ शुरू होते हैं: आपकी सहमति के बिना, कोई भी आँकड़ा कुकी सेट नहीं होती और कोई पहचानकर्ता नहीं बनता। सहमति देने पर, अधिकतम पेज व्यू और उपयोग किए गए टूल का पहचानकर्ता मापा जाता है - कभी फ़ाइल नाम, फ़ाइल आकार या फ़ाइल की सामग्री नहीं। सभी विवरण और कानूनी आधार गोपनीयता नीति में मौजूद हैं।
सुरक्षा से जुड़े सामान्य प्रश्न
क्या gottrix.app सुरक्षित है?
इसकी सुरक्षा वादों पर नहीं, वास्तुकला पर आधारित है: फ़ाइलें केवल आपके ब्राउज़र में स्थानीय रूप से प्रसंस्कृत होती हैं और किसी सर्वर पर कभी नहीं भेजी जातीं - एक सख़्त Content-Security-Policy रूपांतरण कोड को किसी भी बाहरी कनेक्शन से रोकती है। इसके साथ HSTS वाला TLS 1.2/1.3, सुरक्षा हेडर का पूरा सेट, और जर्मनी में होस्टिंग भी है। इनमें से हर बिंदु को आप स्रोत कोड, नेटवर्क टैब, या फ़्लाइट-मोड टेस्ट के ज़रिए स्वयं सत्यापित कर सकते हैं।
क्या मेरी फ़ाइलें कहीं अपलोड या संग्रहीत होती हैं?
नहीं। रूपांतरण पूरी तरह आपके ब्राउज़र की मेमोरी में होता है; फ़ाइल की सामग्री के लिए न कोई अपलोड एंडपॉइंट है, न सर्वर-साइड स्टोरेज। Content-Security-Policy इंजन और वर्कर कोड को किसी भी बाहरी सर्वर से कनेक्शन की अनुमति नहीं देती, और हर बिल्ड में एक स्वचालित परीक्षण इसे सत्यापित करता है। टैब बंद करें, और डेटा गायब हो जाता है - सर्वर साइड पर मिटाने के लिए कुछ भी नहीं बचता।
gottrix.app किस एन्क्रिप्शन का उपयोग करता है?
वेबसाइट केवल आधुनिक सिफ़र सूट वाले TLS 1.2 और 1.3 के साथ HTTPS के ज़रिए डिलीवर की जाती है; HSTS सबडोमेन सहित दो वर्षों के लिए HTTPS लागू करती है। आपकी फ़ाइल की सामग्री स्वयं किसी भी कनेक्शन से कभी नहीं गुज़रती, क्योंकि यह आपके डिवाइस को कभी नहीं छोड़ती - ट्रांसपोर्ट एन्क्रिप्शन साइट की डिलीवरी और सहमति पर आधारित वैकल्पिक उपयोग मेटाडेटा को सुरक्षित करता है।
सर्वर कहाँ होस्ट किए गए हैं?
मूल सर्वर जर्मनी में Hetzner Online GmbH द्वारा GDPR के अंतर्गत संचालित हैं। इन पर केवल स्टैटिक वेबसाइट रहती है: न कोई यूज़र अकाउंट, न फ़ाइल की सामग्री, न ही कोई कंटेंट डेटाबेस। चूँकि प्रसंस्करण आपके ब्राउज़र में स्थानीय रूप से होता है, सर्वर का स्थान आपकी फ़ाइल की सामग्री के लिए अप्रासंगिक है - वह कभी वहाँ तक नहीं पहुँचती।
मैं इन सुरक्षा दावों को स्वयं कैसे सत्यापित कर सकता हूँ?
बिना किसी विशेष विशेषज्ञता के तीन तरीके: फ़्लाइट-मोड टेस्ट (कोई टूल खोलें, कनेक्शन काटें, कनवर्ट करें - यह काम करता रहता है), डेवलपर टूल का नेटवर्क टैब (F12: रूपांतरण के दौरान कोई फ़ाइल अनुरोध नहीं), और वे रिस्पॉन्स हेडर जो कोई भी ब्राउज़र दिखा सकता है। चरण-दर-चरण गाइड प्रमाण पृष्ठ पर है; सार्वजनिक लॉन्च पर SSL Labs, Mozilla Observatory और securityheaders.com के बाहरी स्कैन जोड़े जाते हैं।
gottrix आख़िर कौन-सा डेटा एकत्र करता है?
आपकी सहमति के बिना: कोई आँकड़ा कुकी और कोई पहचानकर्ता नहीं, केवल तकनीकी रूप से आवश्यक सर्वर लॉग, जो कम समय के लिए रखे जाते हैं। सहमति देने पर, Google Analytics 4 समुच्चित उपयोग मापता है, जैसे पेज व्यू और उपयोग किए गए टूल का पहचानकर्ता; फ़ाइल नाम, फ़ाइल आकार और फ़ाइल की सामग्री कभी दर्ज नहीं की जाती। पूर्ण कानूनी आधार और सहमति वापस लेने का तरीका गोपनीयता नीति में मौजूद है।