Beveiliging bij gottrix
gottrix.app verwerkt bestanden voor 100% lokaal in je browser: de conversiecode heeft geen toegang tot enige externe server (afgedwongen door het Content-Security-Policy), waardoor uploaden technisch onmogelijk is. Levering verloopt via TLS 1.2/1.3 met HSTS (2 jaar), een volledige set beveiligingsheaders en hosting bij Hetzner in Duitsland. Elke bewering op deze pagina is zelf te controleren.
Nul-upload-architectuur: veiligheid door weglating
Gangbare online converters uploaden je bestand naar een server, verwerken het daar en sturen het resultaat terug - elk van die stappen is een aanvalsoppervlak. gottrix laat de kritieke stap volledig vervallen: de engines (voor afbeeldingen, PDF's, audio, video en meer) draaien als WebAssembly rechtstreeks in je browser. Wat nooit wordt verzonden, kan onderweg niet worden onderschept, kan van geen enkele server lekken en kan van niemand worden opgeëist.
Dit wordt afgedwongen door architectuur, niet door beleid, met twee strikt gescheiden zones: de code die de bytes van je bestand aanraakt (engines en web workers) is via het Content-Security-Policy beperkt tot de eigen origin en bevat nul netwerkaanroepen - een geautomatiseerde test controleert dit bij elke build. De paginalaag, die je bestanden nooit ziet, mag uitsluitend een gedocumenteerde analytics-allowlist bereiken.
- Engines en workers: 0 netwerkprimitieven, geen externe origins - statisch gecontroleerd bij elke build.
- Paginalaag: externe verzoeken alleen naar de gedocumenteerde analytics-allowlist, nooit bestandsbytes.
- Geen upload-terugvaloptie: mislukt lokale verwerking, dan krijg je een eerlijke foutmelding - nooit een omweg via een server.
- Offline-bewijs: na je eerste bezoek blijven de tools ook in vliegtuigmodus werken - het sterkste bewijs dat er niets wordt verzonden.
Transport: TLS en HSTS
De website wordt uitsluitend via HTTPS geleverd - TLS 1.2 en 1.3 met moderne cipher suites en automatisch beheerde certificaten. HTTP Strict Transport Security (HSTS) is ingesteld met max-age=63072000 (2 jaar) inclusief subdomeinen: de browser dwingt HTTPS daarmee ook bij elk toekomstig bezoek zelf af. Ter duiding: de inhoud van je bestanden loopt nooit over deze verbinding, omdat die je apparaat niet verlaat - de transportversleuteling beschermt de levering van de site zelf.
HTTP-beveiligingsheaders
Elk antwoord van de server draagt een volledige set beveiligingsheaders. De waarden zijn geen belofte maar configuratie: een geautomatiseerde test breekt elke deploy af waarbij er een ontbreekt of afwijkt.
| Header en waarde | Effect |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Dwingt HTTPS af voor 2 jaar, inclusief alle subdomeinen. |
| X-Frame-Options: DENY | Voorkomt insluiten van de site in externe frames (bescherming tegen clickjacking, dubbel geborgd via frame-ancestors in het CSP). |
| X-Content-Type-Options: nosniff | Voorkomt dat de browser content-types raadt en bestanden als script uitvoert. |
| Referrer-Policy: strict-origin-when-cross-origin | Geeft aan externe sites hoogstens de origin door, nooit volledige URL's. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Schakelt 12 apparaat- en sensor-API's uit (camera, microfoon, locatie, USB en meer) die de site niet nodig heeft; alleen de volledigschermmodus blijft toegestaan voor de eigen origin. |
| Cross-Origin-Opener-Policy: same-origin | Isoleert het browservenster van externe sites die het hebben geopend. |
Het volledige Content-Security-Policy
Het CSP is het technische slot achter de nul-upload-garantie. Het wordt gegenereerd uit één brondocument en hier live vanuit precies die bron weergegeven - alle 15 richtlijnen, ongekort:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (gecontroleerd op 09-07-2026): 0 bevindingen met ernstniveau hoog. Naast de eigen origin staat connect-src alleen de gedocumenteerde analytics-allowlist van de paginalaag toe - metadata, nooit bestandsinhoud.
Onafhankelijke verificatie
Drie externe controles staan vast gepland en worden bij de publieke lancering tegen het live domein uitgevoerd: SSL Labs (TLS-configuratie), Mozilla Observatory (HTTP-beveiligingsstatus) en securityheaders.com (volledigheid van headers). De resultaten worden pas getoond en gelinkt zodra de scans daadwerkelijk zijn uitgevoerd - gottrix toont principieel geen ongeverifieerde keurmerken of cijfers, en dat wordt in elke build door een geautomatiseerde test afgedwongen.
Hosting en locatie van gegevens
De origin-servers staan bij Hetzner Online GmbH in Duitsland en vallen onder de AVG. Daarop staat uitsluitend de statische website: geen gebruikersaccounts, geen bestandsinhoud, geen inhoudsdatabase. Serverlogs bevatten alleen technisch noodzakelijke toegangsgegevens met een korte bewaartermijn; er is een verwerkersovereenkomst met Hetzner. Omdat bestandsverwerking lokaal in je browser plaatsvindt, bereikt de inhoud van je bestanden deze locatie sowieso nooit.
Statistieken en toestemming
De anonieme gebruiksstatistiek (Google Analytics 4 met Consent Mode v2 Advanced) start met alle signalen op geweigerd: zonder jouw toestemming wordt geen statistiekcookie geplaatst en geen identificator aangemaakt. Met toestemming worden hoogstens paginaweergaven en de identificator van de gebruikte tool gemeten - nooit bestandsnamen, bestandsgroottes of bestandsinhoud. Alle details en rechtsgrondslagen staan in het privacybeleid.
Veelgestelde vragen over beveiliging
Is gottrix.app veilig?
De veiligheid berust op architectuur in plaats van beloftes: bestanden worden uitsluitend lokaal in je browser verwerkt en nooit naar een server verzonden - een strikt Content-Security-Policy verbiedt de conversiecode elke externe verbinding. Daarbij komen TLS 1.2/1.3 met HSTS, een volledige set beveiligingsheaders en hosting in Duitsland. Elk van deze punten is zelf te controleren in de broncode, het netwerktabblad of via de vliegtuigmodus-test.
Worden mijn bestanden ergens geüpload of opgeslagen?
Nee. De conversie verloopt volledig in het geheugen van je browser; er bestaat geen upload-endpoint en geen serveropslag voor bestandsinhoud. Het Content-Security-Policy weigert de engine- en workercode elke verbinding met externe servers, en een geautomatiseerde test controleert dat bij elke build. Sluit je het tabblad, dan zijn de gegevens weg - er is niets wat serverzijdig verwijderd zou moeten worden.
Welke versleuteling gebruikt gottrix.app?
De website wordt uitsluitend via HTTPS geleverd met TLS 1.2 en 1.3 en moderne cipher suites; HSTS dwingt HTTPS twee jaar lang af, inclusief subdomeinen. De inhoud van je bestanden loopt daarbij zelf over geen enkele verbinding, omdat die je apparaat nooit verlaat - de transportversleuteling beschermt de levering van de site en de optionele, toestemmingsgebaseerde gebruiksmetadata.
Waar worden de servers gehost?
De origin-servers worden beheerd door Hetzner Online GmbH in Duitsland, onder de AVG. Daarop staat uitsluitend de statische website: geen gebruikersaccounts, geen bestandsinhoud, geen inhoudsdatabase. Omdat de verwerking lokaal in je browser plaatsvindt, is de serverlocatie irrelevant voor de inhoud van je bestanden - die bereikt hem op geen enkel moment.
Hoe kan ik deze beveiligingsclaims zelf controleren?
Drie manieren zonder speciale kennis: de vliegtuigmodus-test (open een tool, verbreek de verbinding, converteer - het blijft werken), het netwerktabblad van de ontwikkelaarstools (F12: geen bestandsverzoek tijdens het converteren) en de responseheaders die elke browser toont. De stap-voor-stap-handleiding staat op de bewijspagina; bij de publieke lancering komen externe scans van SSL Labs, Mozilla Observatory en securityheaders.com erbij.
Welke gegevens verzamelt gottrix eigenlijk?
Zonder jouw toestemming: geen statistiekcookies en geen identificatoren, alleen technisch noodzakelijke serverlogs met een korte bewaartermijn. Met toestemming meet Google Analytics 4 geaggregeerd gebruik, zoals paginaweergaven en de identificator van de gebruikte tool; bestandsnamen, bestandsgroottes en bestandsinhoud worden nooit vastgelegd. De volledige rechtsgrondslagen en hoe je toestemming intrekt staan in het privacybeleid.