pt

Segurança no gottrix

O gottrix.app processa arquivos 100% localmente no seu navegador: o código de conversão não tem acesso a nenhum servidor externo (imposto pela Content-Security-Policy), então um upload é tecnicamente impossível. A entrega ocorre via TLS 1.2/1.3 com HSTS (2 anos), um conjunto completo de cabeçalhos de segurança e hospedagem na Hetzner, na Alemanha. Cada afirmação nesta página é verificável por você mesmo.

Arquitetura zero upload: segurança pela eliminação

Conversores online tradicionais enviam seu arquivo para um servidor, processam-no lá e devolvem o resultado - cada uma dessas etapas é uma superfície de ataque. O gottrix elimina totalmente a etapa crítica: os motores (para imagens, PDFs, áudio, vídeo e mais) rodam como WebAssembly diretamente no seu navegador. O que nunca é transmitido não pode ser interceptado no caminho, não pode vazar de nenhum servidor e não pode ser exigido de ninguém.

Isso é imposto pela arquitetura, não por uma política, com duas zonas estritamente separadas: o código que toca os bytes do seu arquivo (motores e web workers) fica restrito à própria origem pela Content-Security-Policy e não contém nenhuma chamada de rede - um teste automático verifica isso a cada build. A camada da página, que nunca vê seus arquivos, só pode alcançar uma lista de permissões de analytics documentada.

  • Motores e workers: 0 primitivas de rede, nenhuma origem externa - verificado estaticamente a cada build.
  • Camada da página: requisições externas apenas para a lista de permissões de analytics documentada, nunca bytes de arquivo.
  • Sem alternativa de upload: se o processamento local falhar, você recebe uma mensagem de erro honesta - nunca um desvio pelo servidor.
  • Prova offline: depois da sua primeira visita, as ferramentas continuam funcionando em modo avião - a evidência mais forte de que nada é enviado.

Transporte: TLS e HSTS

O site é entregue exclusivamente via HTTPS - TLS 1.2 e 1.3 com conjuntos de cifra modernos e certificados gerenciados automaticamente. O HTTP Strict Transport Security (HSTS) está configurado com max-age=63072000 (2 anos), incluindo subdomínios: assim, o navegador impõe HTTPS por conta própria em toda visita futura. Para contextualizar: o conteúdo dos seus arquivos nunca trafega por essa conexão, porque nunca sai do seu dispositivo - a criptografia de transporte protege a entrega do site em si.

Cabeçalhos HTTP de segurança

Cada resposta do servidor traz um conjunto completo de cabeçalhos de segurança. Os valores são configuração, não aspiração: um teste automático interrompe qualquer deploy em que um deles esteja ausente ou divergente.

Cabeçalhos HTTP de segurança
Cabeçalho e valorEfeito
Strict-Transport-Security: max-age=63072000; includeSubDomainsImpõe HTTPS por 2 anos, incluindo todos os subdomínios.
X-Frame-Options: DENYImpede que o site seja incorporado em frames externos (proteção contra clickjacking, garantida duplamente via frame-ancestors na CSP).
X-Content-Type-Options: nosniffImpede que o navegador adivinhe tipos de conteúdo e execute arquivos como script.
Referrer-Policy: strict-origin-when-cross-originTransmite no máximo a origem para sites externos, nunca URLs completas.
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...Desativa 12 APIs de dispositivos e sensores (câmera, microfone, localização, USB e mais) que o site não precisa; só o modo tela cheia permanece permitido para a própria origem.
Cross-Origin-Opener-Policy: same-originIsola a janela do navegador de sites externos que a abriram.

A Content-Security-Policy na íntegra

A CSP é o bloqueio técnico por trás da garantia de zero upload. Ela é gerada a partir de um único arquivo-fonte e exibida aqui ao vivo a partir dessa mesma fonte - todas as 15 diretivas, sem cortes:

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

Google CSP Evaluator (verificado em 09/07/2026): 0 constatações de severidade alta. Além da própria origem, connect-src permite apenas a lista de permissões de analytics documentada da camada da página - metadados, nunca conteúdo de arquivos.

Verificação independente

Três verificações externas estão firmemente planejadas e serão executadas contra o domínio ativo no lançamento público: SSL Labs (configuração TLS), Mozilla Observatory (postura de segurança HTTP) e securityheaders.com (completude dos cabeçalhos). Os resultados só são exibidos e vinculados depois que as varreduras realmente forem executadas - o gottrix nunca exibe selos ou notas não verificados, e um teste automático em cada build garante exatamente isso.

Hospedagem e localização dos dados

Os servidores de origem são operados pela Hetzner Online GmbH na Alemanha e estão sujeitos ao RGPD. Neles reside apenas o site estático: sem contas de usuário, sem conteúdo de arquivos, sem banco de dados de conteúdo. Os logs do servidor contêm apenas dados de acesso tecnicamente necessários com curto período de retenção; existe um contrato de tratamento de dados com a Hetzner. Como o processamento de arquivos acontece localmente no seu navegador, o conteúdo dos seus arquivos nunca chega a esse local de qualquer forma.

Estatísticas e consentimento

As estatísticas de uso anônimas (Google Analytics 4 com Consent Mode v2 Advanced) começam com todos os sinais definidos como recusado: sem o seu consentimento, nenhum cookie de estatística é definido e nenhum identificador é criado. Com consentimento, no máximo visualizações de página e o identificador da ferramenta usada são medidos - nunca nomes de arquivo, tamanhos de arquivo ou conteúdo de arquivos. Todos os detalhes e bases legais estão na política de privacidade.

Ler a política de privacidade

Perguntas frequentes sobre segurança

O gottrix.app é seguro?

Sua segurança se baseia em arquitetura, não em promessas: os arquivos são processados exclusivamente de forma local no seu navegador e nunca transmitidos a um servidor - uma Content-Security-Policy rígida proíbe o código de conversão de qualquer conexão externa. Somam-se a isso TLS 1.2/1.3 com HSTS, um conjunto completo de cabeçalhos de segurança e hospedagem na Alemanha. Cada um desses pontos é verificável por você mesmo no código-fonte, na aba de rede ou pelo teste em modo avião.

Meus arquivos são enviados ou armazenados em algum lugar?

Não. A conversão roda inteiramente na memória do seu navegador; não existe nenhum endpoint de upload nem armazenamento no servidor para o conteúdo dos arquivos. A Content-Security-Policy nega ao código de motores e workers qualquer conexão com servidores externos, e um teste automático verifica isso a cada build. Feche a aba e os dados desaparecem - não há nada que precise ser apagado no servidor.

Que criptografia o gottrix.app usa?

O site é entregue exclusivamente via HTTPS com TLS 1.2 e 1.3 e conjuntos de cifra modernos; o HSTS impõe HTTPS por dois anos, incluindo subdomínios. O conteúdo dos seus arquivos não trafega por nenhuma conexão, porque nunca sai do seu dispositivo - a criptografia de transporte protege a entrega do site e os metadados de uso opcionais baseados em consentimento.

Onde os servidores são hospedados?

Os servidores de origem são operados pela Hetzner Online GmbH na Alemanha, sob o RGPD. Neles reside apenas o site estático: sem contas de usuário, sem conteúdo de arquivos, sem banco de dados de conteúdo. Como o processamento acontece localmente no seu navegador, a localização do servidor é irrelevante para o conteúdo dos seus arquivos - eles nunca o alcançam em nenhum momento.

Como posso verificar essas afirmações de segurança por conta própria?

Três formas que não exigem conhecimento especializado: o teste em modo avião (abra uma ferramenta, desconecte-se, converta - continua funcionando), a aba de rede das ferramentas de desenvolvedor (F12: nenhuma requisição de arquivo durante a conversão) e os cabeçalhos de resposta que qualquer navegador pode exibir. O guia passo a passo está na página de provas; no lançamento público, varreduras externas do SSL Labs, Mozilla Observatory e securityheaders.com são adicionadas.

Quais dados o gottrix coleta, afinal?

Sem o seu consentimento: nenhum cookie de estatística e nenhum identificador, apenas logs do servidor tecnicamente necessários com curto período de retenção. Com consentimento, o Google Analytics 4 mede o uso agregado, como visualizações de página e o identificador da ferramenta usada; nomes de arquivo, tamanhos de arquivo e conteúdo de arquivos nunca são registrados. As bases legais completas e como retirar o consentimento estão na política de privacidade.

Como isso é verificável