Sicurezza in gottrix
gottrix.app elabora i file al 100% in locale nel tuo browser: il codice di conversione non ha accesso ad alcun server esterno (imposto dalla Content-Security-Policy), quindi un upload è tecnicamente impossibile. La consegna avviene via TLS 1.2/1.3 con HSTS (2 anni), un set completo di header di sicurezza e hosting presso Hetzner in Germania. Ogni affermazione di questa pagina è verificabile da te stesso.
Architettura zero upload: sicurezza per eliminazione
I convertitori online tradizionali caricano il tuo file su un server, lo elaborano lì e ti restituiscono il risultato - ognuno di questi passaggi è una superficie di attacco. gottrix elimina del tutto il passaggio critico: i motori (per immagini, PDF, audio, video e altro) vengono eseguiti come WebAssembly direttamente nel tuo browser. Ciò che non viene mai trasmesso non può essere intercettato lungo il percorso, non può trapelare da alcun server e non può essere richiesto a nessuno.
Ciò è imposto dall’architettura, non da una policy, con due zone rigorosamente separate: il codice che tocca i byte del tuo file (motori e web worker) è limitato alla propria origine dalla Content-Security-Policy e non contiene alcuna chiamata di rete - un test automatico lo verifica a ogni build. Il livello pagina, che non vede mai i tuoi file, può raggiungere solo una lista consentita di analytics documentata.
- Motori e worker: 0 primitive di rete, nessuna origine esterna - verificato staticamente a ogni build.
- Livello pagina: richieste esterne solo verso la lista consentita di analytics documentata, mai byte di file.
- Nessun ripiego con upload: se l’elaborazione locale fallisce, ricevi un messaggio d’errore onesto - mai una deviazione via server.
- Prova offline: dopo la prima visita gli strumenti continuano a funzionare in modalità aereo - la prova più forte che nulla viene inviato.
Trasporto: TLS e HSTS
Il sito viene distribuito esclusivamente via HTTPS - TLS 1.2 e 1.3 con suite di cifratura moderne e certificati gestiti automaticamente. L’HTTP Strict Transport Security (HSTS) è impostato con max-age=63072000 (2 anni) inclusi i sottodomini: il browser impone così HTTPS da solo a ogni visita futura. Per chiarezza: il contenuto dei tuoi file non transita mai su questa connessione, perché non lascia mai il tuo dispositivo - la cifratura del trasporto protegge la consegna del sito stesso.
Header HTTP di sicurezza
Ogni risposta del server porta un set completo di header di sicurezza. I valori sono configurazione, non aspirazione: un test automatico blocca ogni deploy in cui uno di essi manca o differisce.
| Header e valore | Effetto |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Impone HTTPS per 2 anni, inclusi tutti i sottodomini. |
| X-Frame-Options: DENY | Impedisce di incorporare il sito in frame esterni (protezione dal clickjacking, doppiamente garantita tramite frame-ancestors nella CSP). |
| X-Content-Type-Options: nosniff | Impedisce al browser di indovinare i tipi di contenuto ed eseguire file come script. |
| Referrer-Policy: strict-origin-when-cross-origin | Trasmette ai siti esterni al massimo l’origine, mai URL complete. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Disattiva 12 API di dispositivi e sensori (fotocamera, microfono, posizione, USB e altro) di cui il sito non ha bisogno; solo la modalità schermo intero resta consentita per la propria origine. |
| Cross-Origin-Opener-Policy: same-origin | Isola la finestra del browser dai siti esterni che l’hanno aperta. |
La Content-Security-Policy per intero
La CSP è il blocco tecnico dietro la garanzia di zero upload. Viene generata da un unico file sorgente e mostrata qui dal vivo esattamente da quella fonte - tutte le 15 direttive, senza tagli:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (verificato il 09/07/2026): 0 rilievi di gravità alta. Oltre alla propria origine, connect-src consente solo la lista consentita di analytics documentata a livello pagina - metadati, mai contenuto dei file.
Verifica indipendente
Sono previste con certezza tre verifiche esterne che verranno eseguite sul dominio live al lancio pubblico: SSL Labs (configurazione TLS), Mozilla Observatory (postura di sicurezza HTTP) e securityheaders.com (completezza degli header). I risultati vengono mostrati e collegati solo dopo che le scansioni sono state effettivamente eseguite - gottrix non mostra mai sigilli o voti non verificati, e un test automatico in ogni build lo impone.
Hosting e ubicazione dei dati
I server di origine sono gestiti da Hetzner Online GmbH in Germania e sono soggetti al GDPR. Vi risiede esclusivamente il sito statico: nessun account utente, nessun contenuto di file, nessun database di contenuti. I log del server contengono solo dati di accesso tecnicamente necessari con una breve durata di conservazione; esiste un contratto di trattamento dati con Hetzner. Poiché l’elaborazione dei file avviene in locale nel tuo browser, il contenuto dei tuoi file non raggiunge comunque mai questa ubicazione.
Statistiche e consenso
Le statistiche d’utilizzo anonime (Google Analytics 4 con Consent Mode v2 Advanced) partono con tutti i segnali impostati su rifiutato: senza il tuo consenso non viene impostato alcun cookie statistico né creato alcun identificativo. Con il consenso vengono misurate al massimo le visualizzazioni di pagina e l’identificativo dello strumento usato - mai nomi di file, dimensioni di file o contenuto di file. Tutti i dettagli e le basi giuridiche sono nell’informativa sulla privacy.
Domande frequenti sulla sicurezza
gottrix.app è sicuro?
La sua sicurezza si basa sull’architettura e non sulle promesse: i file vengono elaborati esclusivamente in locale nel tuo browser e non vengono mai trasmessi a un server - una rigorosa Content-Security-Policy vieta al codice di conversione qualsiasi connessione esterna. A ciò si aggiungono TLS 1.2/1.3 con HSTS, un set completo di header di sicurezza e hosting in Germania. Ognuno di questi punti è verificabile da te stesso nel codice sorgente, nella scheda rete o tramite il test in modalità aereo.
I miei file vengono caricati o memorizzati da qualche parte?
No. La conversione avviene interamente nella memoria del tuo browser; non esiste alcun endpoint di upload né alcuna memorizzazione lato server per il contenuto dei file. La Content-Security-Policy nega al codice di motori e worker qualsiasi connessione a server esterni, e un test automatico lo verifica a ogni build. Chiudi la scheda e i dati spariscono - non c’è nulla da eliminare lato server.
Quale cifratura usa gottrix.app?
Il sito viene distribuito esclusivamente via HTTPS con TLS 1.2 e 1.3 e suite di cifratura moderne; HSTS impone HTTPS per due anni, sottodomini inclusi. Il contenuto dei tuoi file non transita mai su alcuna connessione, perché non lascia mai il tuo dispositivo - la cifratura del trasporto protegge la consegna del sito e i metadati di utilizzo opzionali basati sul consenso.
Dove sono ospitati i server?
I server di origine sono gestiti da Hetzner Online GmbH in Germania, soggetti al GDPR. Vi risiede esclusivamente il sito statico: nessun account utente, nessun contenuto di file, nessun database di contenuti. Poiché l’elaborazione avviene in locale nel tuo browser, l’ubicazione del server è irrilevante per il contenuto dei tuoi file - non lo raggiunge mai in alcun momento.
Come posso verificare da solo queste affermazioni sulla sicurezza?
Tre modi che non richiedono competenze speciali: il test in modalità aereo (apri uno strumento, disconnettiti, converti - continua a funzionare), la scheda rete degli strumenti per sviluppatori (F12: nessuna richiesta di file durante la conversione) e gli header di risposta che ogni browser può mostrare. La guida passo passo è nella pagina delle prove; al lancio pubblico si aggiungono scansioni esterne di SSL Labs, Mozilla Observatory e securityheaders.com.
Quali dati raccoglie gottrix in generale?
Senza il tuo consenso: nessun cookie statistico né identificativi, solo log del server tecnicamente necessari con breve durata di conservazione. Con il consenso, Google Analytics 4 misura l’utilizzo aggregato, come le visualizzazioni di pagina e l’identificativo dello strumento usato; nomi di file, dimensioni di file e contenuto di file non vengono mai registrati. Le basi giuridiche complete e come revocare il consenso sono nell’informativa sulla privacy.