gottrixのセキュリティ
gottrix.appはファイルを100%お使いのブラウザ内でローカルに処理します。変換コードはいかなる外部サーバーにもアクセスできません(Content-Security-Policyにより強制)。そのためアップロードは技術的に不可能です。配信はHSTS(2年間)付きのTLS 1.2/1.3、完全なセキュリティヘッダーのセット、そしてドイツのHetznerでのホスティングによって行われます。このページのすべての主張はご自身で検証できます。
ゼロアップロードアーキテクチャ: 排除による安全性
一般的なオンライン変換サービスは、あなたのファイルをサーバーにアップロードし、そこで処理して結果を返します - これらの各手順が攻撃対象になります。gottrixはこの重要な手順を完全に排除します: エンジン(画像、PDF、音声、動画などを扱う)はWebAssemblyとしてお使いのブラウザ内で直接実行されます。一度も送信されないものは、途中で傍受されることも、どのサーバーから漏洩することも、誰かに要求されることもありません。
これはポリシーではなくアーキテクチャによって強制されます。厳密に分離された2つのゾーンがあります: あなたのファイルのバイトに触れるコード(エンジンとWebワーカー)は、Content-Security-Policyによって自身のオリジンに制限され、ネットワーク呼び出しをゼロにしています - これは自動テストによりビルドのたびに検証されます。あなたのファイルを一切見ないページ層は、文書化された分析の許可リストにのみアクセスできます。
- エンジンとワーカー: ネットワークプリミティブは0、外部オリジンなし - ビルドのたびに静的に検証されます。
- ページ層: 外部へのリクエストは文書化された分析の許可リストのみ、ファイルのバイトは決して送信されません。
- アップロードへのフォールバックなし: ローカル処理が失敗した場合、正直なエラーメッセージが表示されます - サーバー経由に回避されることは決してありません。
- オフラインの証明: 初回訪問後は、機内モードでもツールが動作し続けます - 何も送信されていない最も強力な証拠です。
通信: TLSとHSTS
このウェブサイトはHTTPSのみで配信されます - 最新の暗号スイートと自動管理された証明書によるTLS 1.2および1.3です。HTTP Strict Transport Security(HSTS)はサブドメインを含めてmax-age=63072000(2年間)に設定されています: これによりブラウザは今後のすべての訪問時に自らHTTPSを強制します。補足すると、あなたのファイルの内容はこの接続を一切通過しません。なぜならお使いの端末を離れることがないからです - 通信の暗号化はサイト自体の配信を保護します。
HTTPセキュリティヘッダー
サーバーからのすべての応答には完全なセキュリティヘッダーのセットが付与されます。これらの値は願望ではなく設定です: 自動テストが、いずれかが欠けているか異なるすべてのデプロイを中断します。
| ヘッダーと値 | 効果 |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | すべてのサブドメインを含めて2年間HTTPSを強制します。 |
| X-Frame-Options: DENY | 外部のフレームにサイトを埋め込むことを防ぎます(クリックジャッキング対策、CSP内のframe-ancestorsによって二重に保護されます)。 |
| X-Content-Type-Options: nosniff | ブラウザがコンテンツタイプを推測し、ファイルをスクリプトとして実行することを防ぎます。 |
| Referrer-Policy: strict-origin-when-cross-origin | 外部サイトには最大でオリジンのみを渡し、完全なURLは決して渡しません。 |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | サイトが必要としない12個のデバイス・センサーAPI(カメラ、マイク、位置情報、USBなど)を無効化します。フルスクリーンモードのみ自身のオリジンで許可されます。 |
| Cross-Origin-Opener-Policy: same-origin | ブラウザウィンドウを、それを開いた外部サイトから分離します。 |
Content-Security-Policyの全文
CSPはゼロアップロード保証の背後にある技術的なロックです。単一のソースファイルから生成され、まさにそのソースからここでライブに表示されます - 15個すべてのディレクティブを、省略なしで:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator(2026年7月9日に確認): 重大度「高」の指摘は0件です。自身のオリジンに加えて、connect-srcはページ層の文書化された分析の許可リストのみを許可します - メタデータのみで、ファイルの内容は決して含まれません。
独立した検証
一般公開時に稼働中のドメインに対して実行される予定の外部審査が3つ確定しています: SSL Labs(TLS設定)、Mozilla Observatory(HTTPセキュリティ状態)、securityheaders.com(ヘッダーの完全性)です。結果は、実際にスキャンが実行された後にのみ表示・リンクされます - gottrixは未検証のシールや評価を決して表示せず、これは各ビルドの自動テストによって強制されます。
ホスティングとデータの所在地
オリジンサーバーはドイツのHetzner Online GmbHによって運用され、GDPRの対象です。そこにあるのは静的なウェブサイトのみです: ユーザーアカウントなし、ファイルの内容なし、コンテンツデータベースなしです。サーバーログには短い保存期間の技術的に必要なアクセスデータのみが含まれ、Hetznerとの間にデータ処理契約が存在します。ファイル処理はお使いのブラウザ内でローカルに行われるため、あなたのファイルの内容がこの所在地に到達することはそもそもありません。
統計と同意
匿名の利用統計(Consent Mode v2 Advanced付きGoogle Analytics 4)は、すべての信号を「拒否」に設定した状態で開始されます: あなたの同意がなければ、統計クッキーは設定されず、識別子も作成されません。同意があれば、最大でもページビューと使用されたツールの識別子のみが測定されます - ファイル名、ファイルサイズ、ファイルの内容は決してありません。詳細と法的根拠はすべてプライバシーポリシーに記載されています。
セキュリティに関するよくある質問
gottrix.appは安全ですか?
その安全性は約束ではなくアーキテクチャに基づいています: ファイルはお使いのブラウザ内でのみローカルに処理され、サーバーに送信されることは決してありません - 厳格なContent-Security-Policyが変換コードのあらゆる外部接続を禁止しています。さらにHSTS付きのTLS 1.2/1.3、完全なセキュリティヘッダーのセット、ドイツでのホスティングが加わります。これらの点はすべて、ソースコード、ネットワークタブ、または機内モードのテストによってご自身で検証できます。
私のファイルはどこかにアップロードまたは保存されますか?
いいえ。変換はすべてお使いのブラウザのメモリ内で行われます。ファイルの内容に対するアップロードのエンドポイントもサーバー側の保存も一切存在しません。Content-Security-Policyはエンジンおよびワーカーのコードに外部サーバーへのいかなる接続も許可せず、これは自動テストによりビルドのたびに検証されます。タブを閉じればデータは消えます - サーバー側で削除すべきものは何もありません。
gottrix.appはどのような暗号化を使用していますか?
このウェブサイトは最新の暗号スイートによるTLS 1.2および1.3を用いたHTTPSのみで配信されます。HSTSはサブドメインを含めて2年間HTTPSを強制します。あなたのファイルの内容自体は、いかなる接続も通過しません。なぜならお使いの端末を離れることがないからです - 通信の暗号化はサイトの配信と、同意に基づく任意の利用メタデータを保護します。
サーバーはどこにホスティングされていますか?
オリジンサーバーはGDPRのもとドイツのHetzner Online GmbHによって運用されています。そこにあるのは静的なウェブサイトのみです: ユーザーアカウントなし、ファイルの内容なし、コンテンツデータベースなしです。処理はお使いのブラウザ内でローカルに行われるため、サーバーの所在地はあなたのファイルの内容にとって無関係です - 決して到達することはありません。
これらのセキュリティに関する主張を自分で検証するにはどうすればよいですか?
専門知識を必要としない3つの方法があります: 機内モードのテスト(ツールを開き、接続を切断し、変換する - それでも動作します)、開発者ツールのネットワークタブ(F12: 変換中にファイルのリクエストがないこと)、そしてどのブラウザでも表示できるレスポンスヘッダーです。ステップバイステップのガイドは証明ページに記載されています。一般公開時にはSSL Labs、Mozilla Observatory、securityheaders.comによる外部スキャンが追加されます。
gottrixはそもそもどのようなデータを収集しますか?
あなたの同意がなければ、統計クッキーも識別子も一切なく、短い保存期間の技術的に必要なサーバーログのみです。同意があれば、Google Analytics 4はページビューや使用されたツールの識別子など、集計された利用状況を測定します。ファイル名、ファイルサイズ、ファイルの内容は決して記録されません。完全な法的根拠と同意の撤回方法はプライバシーポリシーに記載されています。