Bezpieczeństwo w gottrix
gottrix.app przetwarza pliki w 100% lokalnie w Twojej przeglądarce: kod konwersji nie ma dostępu do żadnego zewnętrznego serwera (wymuszone przez Content-Security-Policy), więc przesłanie pliku jest technicznie niemożliwe. Dostarczanie odbywa się przez TLS 1.2/1.3 z HSTS (2 lata), pełnym zestawem nagłówków bezpieczeństwa i hostingiem u Hetznera w Niemczech. Każde twierdzenie na tej stronie możesz zweryfikować samodzielnie.
Architektura zero przesyłania: bezpieczeństwo przez eliminację
Typowe konwertery online przesyłają Twój plik na serwer, przetwarzają go tam i odsyłają wynik - każdy z tych kroków to powierzchnia ataku. gottrix całkowicie usuwa ten krytyczny krok: silniki (do obrazów, PDF-ów, dźwięku, wideo i innych) działają jako WebAssembly bezpośrednio w Twojej przeglądarce. To, co nigdy nie zostaje przesłane, nie może zostać przechwycone po drodze, nie może wyciec z żadnego serwera i nie może zostać od nikogo zażądane.
To wymuszone jest przez architekturę, nie politykę, dzięki dwóm ściśle rozdzielonym strefom: kod dotykający bajtów Twojego pliku (silniki i web workery) jest ograniczony do własnego pochodzenia przez Content-Security-Policy i nie zawiera żadnych wywołań sieciowych - automatyczny test weryfikuje to przy każdym buildzie. Warstwa strony, która nigdy nie widzi Twoich plików, może kontaktować się wyłącznie z udokumentowaną listą dozwolonych domen analitycznych.
- Silniki i workery: 0 prymitywów sieciowych, żadnych zewnętrznych domen - sprawdzane statycznie przy każdym buildzie.
- Warstwa strony: żądania zewnętrzne tylko do udokumentowanej listy dozwolonych domen analitycznych, nigdy bajty pliku.
- Brak alternatywy w postaci przesyłania: gdy lokalne przetwarzanie zawiedzie, otrzymujesz uczciwy komunikat o błędzie - nigdy objazd przez serwer.
- Dowód offline: po pierwszej wizycie narzędzia nadal działają w trybie samolotowym - najsilniejszy dowód, że nic nie zostaje wysłane.
Transport: TLS i HSTS
Witryna jest dostarczana wyłącznie przez HTTPS - TLS 1.2 i 1.3 z nowoczesnymi zestawami szyfrów i automatycznie zarządzanymi certyfikatami. HTTP Strict Transport Security (HSTS) jest ustawione z max-age=63072000 (2 lata) łącznie z subdomenami: przeglądarka sama wymusza dzięki temu HTTPS przy każdej przyszłej wizycie. Dla jasności: zawartość Twoich plików nigdy nie przechodzi przez to połączenie, ponieważ nigdy nie opuszcza Twojego urządzenia - szyfrowanie transportu chroni dostarczanie samej strony.
Nagłówki bezpieczeństwa HTTP
Każda odpowiedź serwera niesie pełny zestaw nagłówków bezpieczeństwa. Wartości to konfiguracja, nie aspiracja: automatyczny test przerywa każdy deploy, w którym któryś nagłówek brakuje lub się różni.
| Nagłówek i wartość | Efekt |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Wymusza HTTPS przez 2 lata, łącznie ze wszystkimi subdomenami. |
| X-Frame-Options: DENY | Uniemożliwia osadzenie strony w zewnętrznych ramkach (ochrona przed clickjackingiem, dodatkowo zabezpieczona przez frame-ancestors w CSP). |
| X-Content-Type-Options: nosniff | Zapobiega zgadywaniu przez przeglądarkę typów zawartości i uruchamianiu plików jako skryptów. |
| Referrer-Policy: strict-origin-when-cross-origin | Przekazuje zewnętrznym witrynom co najwyżej pochodzenie, nigdy pełne adresy URL. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Wyłącza 12 interfejsów API urządzeń i czujników (kamera, mikrofon, lokalizacja, USB i inne), których strona nie potrzebuje; tylko tryb pełnoekranowy pozostaje dozwolony dla własnego pochodzenia. |
| Cross-Origin-Opener-Policy: same-origin | Izoluje okno przeglądarki od zewnętrznych witryn, które je otworzyły. |
Pełna treść Content-Security-Policy
CSP to techniczna blokada stojąca za gwarancją zero przesyłania. Jest generowana z jednego pliku źródłowego i wyświetlana tutaj na żywo dokładnie z tego źródła - wszystkie 15 dyrektyw, bez skrótów:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (sprawdzone 09.07.2026): 0 ustaleń o wysokiej istotności. Poza własnym pochodzeniem connect-src zezwala wyłącznie na udokumentowaną listę dozwolonych domen analitycznych warstwy strony - metadane, nigdy zawartość plików.
Niezależna weryfikacja
Zaplanowane są trzy zewnętrzne kontrole, które zostaną wykonane wobec działającej domeny w chwili publicznego uruchomienia: SSL Labs (konfiguracja TLS), Mozilla Observatory (stan bezpieczeństwa HTTP) oraz securityheaders.com (kompletność nagłówków). Wyniki są pokazywane i linkowane dopiero, gdy skanowania faktycznie zostaną wykonane - gottrix zasadniczo nie pokazuje niezweryfikowanych pieczęci ani ocen, co wymusza automatyczny test przy każdym buildzie.
Hosting i lokalizacja danych
Serwery źródłowe są obsługiwane przez Hetzner Online GmbH w Niemczech i podlegają RODO. Znajduje się na nich wyłącznie statyczna witryna: brak kont użytkowników, brak zawartości plików, brak bazy danych treści. Dzienniki serwera zawierają jedynie technicznie niezbędne dane dostępu z krótkim okresem przechowywania; z Hetznerem zawarta jest umowa powierzenia przetwarzania danych. Ponieważ przetwarzanie plików odbywa się lokalnie w Twojej przeglądarce, zawartość Twoich plików i tak nigdy nie dociera do tej lokalizacji.
Statystyki i zgoda
Anonimowe statystyki użycia (Google Analytics 4 z Consent Mode v2 Advanced) startują z wszystkimi sygnałami ustawionymi na odrzucone: bez Twojej zgody nie jest ustawiany żaden plik cookie statystyczny ani tworzony żaden identyfikator. Po wyrażeniu zgody mierzone są co najwyżej odsłony stron i identyfikator użytego narzędzia - nigdy nazwy plików, rozmiary plików ani zawartość plików. Wszystkie szczegóły i podstawy prawne znajdziesz w polityce prywatności.
Najczęstsze pytania dotyczące bezpieczeństwa
Czy gottrix.app jest bezpieczny?
Bezpieczeństwo opiera się na architekturze, a nie na obietnicach: pliki są przetwarzane wyłącznie lokalnie w Twojej przeglądarce i nigdy nie są przesyłane na serwer - ścisła Content-Security-Policy zabrania kodowi konwersji jakiegokolwiek zewnętrznego połączenia. Do tego dochodzą TLS 1.2/1.3 z HSTS, pełny zestaw nagłówków bezpieczeństwa i hosting w Niemczech. Każdy z tych punktów możesz samodzielnie zweryfikować w kodzie źródłowym, na karcie sieci lub za pomocą testu trybu samolotowego.
Czy moje pliki są gdziekolwiek przesyłane lub przechowywane?
Nie. Konwersja odbywa się całkowicie w pamięci Twojej przeglądarki; nie istnieje żaden punkt końcowy przesyłania ani przechowywanie na serwerze dla zawartości plików. Content-Security-Policy odmawia kodowi silników i workerów jakiegokolwiek połączenia z zewnętrznymi serwerami, a automatyczny test weryfikuje to przy każdym buildzie. Zamknij kartę, a dane znikają - nie ma nic, co trzeba by usunąć po stronie serwera.
Jakiego szyfrowania używa gottrix.app?
Witryna jest dostarczana wyłącznie przez HTTPS z TLS 1.2 i 1.3 oraz nowoczesnymi zestawami szyfrów; HSTS wymusza HTTPS przez dwa lata, łącznie z subdomenami. Zawartość Twoich plików sama w sobie nie przechodzi przy tym przez żadne połączenie, ponieważ nigdy nie opuszcza Twojego urządzenia - szyfrowanie transportu chroni dostarczanie strony oraz opcjonalne metadane użycia oparte na zgodzie.
Gdzie hostowane są serwery?
Serwery źródłowe są obsługiwane przez Hetzner Online GmbH w Niemczech, zgodnie z RODO. Znajduje się na nich wyłącznie statyczna witryna: brak kont użytkowników, brak zawartości plików, brak bazy danych treści. Ponieważ przetwarzanie odbywa się lokalnie w Twojej przeglądarce, lokalizacja serwera nie ma znaczenia dla zawartości Twoich plików - nigdy do niej nie dociera.
Jak mogę samodzielnie zweryfikować te twierdzenia dotyczące bezpieczeństwa?
Trzy sposoby niewymagające specjalistycznej wiedzy: test trybu samolotowego (otwórz narzędzie, rozłącz się, konwertuj - nadal działa), karta sieci narzędzi deweloperskich (F12: brak żądania pliku podczas konwersji) oraz nagłówki odpowiedzi, które pokazuje każda przeglądarka. Instrukcja krok po kroku znajduje się na stronie dowodów; przy publicznym uruchomieniu dochodzą zewnętrzne skanowania SSL Labs, Mozilla Observatory i securityheaders.com.
Jakie dane w ogóle zbiera gottrix?
Bez Twojej zgody: żadnych plików cookie statystycznych ani identyfikatorów, tylko technicznie niezbędne dzienniki serwera z krótkim okresem przechowywania. Po wyrażeniu zgody Google Analytics 4 mierzy zagregowane użycie, takie jak odsłony stron i identyfikator użytego narzędzia; nazwy plików, rozmiary plików i zawartość plików nigdy nie są rejestrowane. Pełne podstawy prawne i sposób wycofania zgody znajdziesz w polityce prywatności.