pl

Bezpieczeństwo w gottrix

gottrix.app przetwarza pliki w 100% lokalnie w Twojej przeglądarce: kod konwersji nie ma dostępu do żadnego zewnętrznego serwera (wymuszone przez Content-Security-Policy), więc przesłanie pliku jest technicznie niemożliwe. Dostarczanie odbywa się przez TLS 1.2/1.3 z HSTS (2 lata), pełnym zestawem nagłówków bezpieczeństwa i hostingiem u Hetznera w Niemczech. Każde twierdzenie na tej stronie możesz zweryfikować samodzielnie.

Architektura zero przesyłania: bezpieczeństwo przez eliminację

Typowe konwertery online przesyłają Twój plik na serwer, przetwarzają go tam i odsyłają wynik - każdy z tych kroków to powierzchnia ataku. gottrix całkowicie usuwa ten krytyczny krok: silniki (do obrazów, PDF-ów, dźwięku, wideo i innych) działają jako WebAssembly bezpośrednio w Twojej przeglądarce. To, co nigdy nie zostaje przesłane, nie może zostać przechwycone po drodze, nie może wyciec z żadnego serwera i nie może zostać od nikogo zażądane.

To wymuszone jest przez architekturę, nie politykę, dzięki dwóm ściśle rozdzielonym strefom: kod dotykający bajtów Twojego pliku (silniki i web workery) jest ograniczony do własnego pochodzenia przez Content-Security-Policy i nie zawiera żadnych wywołań sieciowych - automatyczny test weryfikuje to przy każdym buildzie. Warstwa strony, która nigdy nie widzi Twoich plików, może kontaktować się wyłącznie z udokumentowaną listą dozwolonych domen analitycznych.

  • Silniki i workery: 0 prymitywów sieciowych, żadnych zewnętrznych domen - sprawdzane statycznie przy każdym buildzie.
  • Warstwa strony: żądania zewnętrzne tylko do udokumentowanej listy dozwolonych domen analitycznych, nigdy bajty pliku.
  • Brak alternatywy w postaci przesyłania: gdy lokalne przetwarzanie zawiedzie, otrzymujesz uczciwy komunikat o błędzie - nigdy objazd przez serwer.
  • Dowód offline: po pierwszej wizycie narzędzia nadal działają w trybie samolotowym - najsilniejszy dowód, że nic nie zostaje wysłane.

Transport: TLS i HSTS

Witryna jest dostarczana wyłącznie przez HTTPS - TLS 1.2 i 1.3 z nowoczesnymi zestawami szyfrów i automatycznie zarządzanymi certyfikatami. HTTP Strict Transport Security (HSTS) jest ustawione z max-age=63072000 (2 lata) łącznie z subdomenami: przeglądarka sama wymusza dzięki temu HTTPS przy każdej przyszłej wizycie. Dla jasności: zawartość Twoich plików nigdy nie przechodzi przez to połączenie, ponieważ nigdy nie opuszcza Twojego urządzenia - szyfrowanie transportu chroni dostarczanie samej strony.

Nagłówki bezpieczeństwa HTTP

Każda odpowiedź serwera niesie pełny zestaw nagłówków bezpieczeństwa. Wartości to konfiguracja, nie aspiracja: automatyczny test przerywa każdy deploy, w którym któryś nagłówek brakuje lub się różni.

Nagłówki bezpieczeństwa HTTP
Nagłówek i wartośćEfekt
Strict-Transport-Security: max-age=63072000; includeSubDomainsWymusza HTTPS przez 2 lata, łącznie ze wszystkimi subdomenami.
X-Frame-Options: DENYUniemożliwia osadzenie strony w zewnętrznych ramkach (ochrona przed clickjackingiem, dodatkowo zabezpieczona przez frame-ancestors w CSP).
X-Content-Type-Options: nosniffZapobiega zgadywaniu przez przeglądarkę typów zawartości i uruchamianiu plików jako skryptów.
Referrer-Policy: strict-origin-when-cross-originPrzekazuje zewnętrznym witrynom co najwyżej pochodzenie, nigdy pełne adresy URL.
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...Wyłącza 12 interfejsów API urządzeń i czujników (kamera, mikrofon, lokalizacja, USB i inne), których strona nie potrzebuje; tylko tryb pełnoekranowy pozostaje dozwolony dla własnego pochodzenia.
Cross-Origin-Opener-Policy: same-originIzoluje okno przeglądarki od zewnętrznych witryn, które je otworzyły.

Pełna treść Content-Security-Policy

CSP to techniczna blokada stojąca za gwarancją zero przesyłania. Jest generowana z jednego pliku źródłowego i wyświetlana tutaj na żywo dokładnie z tego źródła - wszystkie 15 dyrektyw, bez skrótów:

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

Google CSP Evaluator (sprawdzone 09.07.2026): 0 ustaleń o wysokiej istotności. Poza własnym pochodzeniem connect-src zezwala wyłącznie na udokumentowaną listę dozwolonych domen analitycznych warstwy strony - metadane, nigdy zawartość plików.

Niezależna weryfikacja

Zaplanowane są trzy zewnętrzne kontrole, które zostaną wykonane wobec działającej domeny w chwili publicznego uruchomienia: SSL Labs (konfiguracja TLS), Mozilla Observatory (stan bezpieczeństwa HTTP) oraz securityheaders.com (kompletność nagłówków). Wyniki są pokazywane i linkowane dopiero, gdy skanowania faktycznie zostaną wykonane - gottrix zasadniczo nie pokazuje niezweryfikowanych pieczęci ani ocen, co wymusza automatyczny test przy każdym buildzie.

Hosting i lokalizacja danych

Serwery źródłowe są obsługiwane przez Hetzner Online GmbH w Niemczech i podlegają RODO. Znajduje się na nich wyłącznie statyczna witryna: brak kont użytkowników, brak zawartości plików, brak bazy danych treści. Dzienniki serwera zawierają jedynie technicznie niezbędne dane dostępu z krótkim okresem przechowywania; z Hetznerem zawarta jest umowa powierzenia przetwarzania danych. Ponieważ przetwarzanie plików odbywa się lokalnie w Twojej przeglądarce, zawartość Twoich plików i tak nigdy nie dociera do tej lokalizacji.

Statystyki i zgoda

Anonimowe statystyki użycia (Google Analytics 4 z Consent Mode v2 Advanced) startują z wszystkimi sygnałami ustawionymi na odrzucone: bez Twojej zgody nie jest ustawiany żaden plik cookie statystyczny ani tworzony żaden identyfikator. Po wyrażeniu zgody mierzone są co najwyżej odsłony stron i identyfikator użytego narzędzia - nigdy nazwy plików, rozmiary plików ani zawartość plików. Wszystkie szczegóły i podstawy prawne znajdziesz w polityce prywatności.

Przejdź do polityki prywatności

Najczęstsze pytania dotyczące bezpieczeństwa

Czy gottrix.app jest bezpieczny?

Bezpieczeństwo opiera się na architekturze, a nie na obietnicach: pliki są przetwarzane wyłącznie lokalnie w Twojej przeglądarce i nigdy nie są przesyłane na serwer - ścisła Content-Security-Policy zabrania kodowi konwersji jakiegokolwiek zewnętrznego połączenia. Do tego dochodzą TLS 1.2/1.3 z HSTS, pełny zestaw nagłówków bezpieczeństwa i hosting w Niemczech. Każdy z tych punktów możesz samodzielnie zweryfikować w kodzie źródłowym, na karcie sieci lub za pomocą testu trybu samolotowego.

Czy moje pliki są gdziekolwiek przesyłane lub przechowywane?

Nie. Konwersja odbywa się całkowicie w pamięci Twojej przeglądarki; nie istnieje żaden punkt końcowy przesyłania ani przechowywanie na serwerze dla zawartości plików. Content-Security-Policy odmawia kodowi silników i workerów jakiegokolwiek połączenia z zewnętrznymi serwerami, a automatyczny test weryfikuje to przy każdym buildzie. Zamknij kartę, a dane znikają - nie ma nic, co trzeba by usunąć po stronie serwera.

Jakiego szyfrowania używa gottrix.app?

Witryna jest dostarczana wyłącznie przez HTTPS z TLS 1.2 i 1.3 oraz nowoczesnymi zestawami szyfrów; HSTS wymusza HTTPS przez dwa lata, łącznie z subdomenami. Zawartość Twoich plików sama w sobie nie przechodzi przy tym przez żadne połączenie, ponieważ nigdy nie opuszcza Twojego urządzenia - szyfrowanie transportu chroni dostarczanie strony oraz opcjonalne metadane użycia oparte na zgodzie.

Gdzie hostowane są serwery?

Serwery źródłowe są obsługiwane przez Hetzner Online GmbH w Niemczech, zgodnie z RODO. Znajduje się na nich wyłącznie statyczna witryna: brak kont użytkowników, brak zawartości plików, brak bazy danych treści. Ponieważ przetwarzanie odbywa się lokalnie w Twojej przeglądarce, lokalizacja serwera nie ma znaczenia dla zawartości Twoich plików - nigdy do niej nie dociera.

Jak mogę samodzielnie zweryfikować te twierdzenia dotyczące bezpieczeństwa?

Trzy sposoby niewymagające specjalistycznej wiedzy: test trybu samolotowego (otwórz narzędzie, rozłącz się, konwertuj - nadal działa), karta sieci narzędzi deweloperskich (F12: brak żądania pliku podczas konwersji) oraz nagłówki odpowiedzi, które pokazuje każda przeglądarka. Instrukcja krok po kroku znajduje się na stronie dowodów; przy publicznym uruchomieniu dochodzą zewnętrzne skanowania SSL Labs, Mozilla Observatory i securityheaders.com.

Jakie dane w ogóle zbiera gottrix?

Bez Twojej zgody: żadnych plików cookie statystycznych ani identyfikatorów, tylko technicznie niezbędne dzienniki serwera z krótkim okresem przechowywania. Po wyrażeniu zgody Google Analytics 4 mierzy zagregowane użycie, takie jak odsłony stron i identyfikator użytego narzędzia; nazwy plików, rozmiary plików i zawartość plików nigdy nie są rejestrowane. Pełne podstawy prawne i sposób wycofania zgody znajdziesz w polityce prywatności.

Jak to sprawdzić