Segurança no gottrix
O gottrix.app processa arquivos 100% localmente no seu navegador: o código de conversão não tem acesso a nenhum servidor externo (imposto pela Content-Security-Policy), então um upload é tecnicamente impossível. A entrega ocorre via TLS 1.2/1.3 com HSTS (2 anos), um conjunto completo de cabeçalhos de segurança e hospedagem na Hetzner, na Alemanha. Cada afirmação nesta página é verificável por você mesmo.
Arquitetura zero upload: segurança pela eliminação
Conversores online tradicionais enviam seu arquivo para um servidor, processam-no lá e devolvem o resultado - cada uma dessas etapas é uma superfície de ataque. O gottrix elimina totalmente a etapa crítica: os motores (para imagens, PDFs, áudio, vídeo e mais) rodam como WebAssembly diretamente no seu navegador. O que nunca é transmitido não pode ser interceptado no caminho, não pode vazar de nenhum servidor e não pode ser exigido de ninguém.
Isso é imposto pela arquitetura, não por uma política, com duas zonas estritamente separadas: o código que toca os bytes do seu arquivo (motores e web workers) fica restrito à própria origem pela Content-Security-Policy e não contém nenhuma chamada de rede - um teste automático verifica isso a cada build. A camada da página, que nunca vê seus arquivos, só pode alcançar uma lista de permissões de analytics documentada.
- Motores e workers: 0 primitivas de rede, nenhuma origem externa - verificado estaticamente a cada build.
- Camada da página: requisições externas apenas para a lista de permissões de analytics documentada, nunca bytes de arquivo.
- Sem alternativa de upload: se o processamento local falhar, você recebe uma mensagem de erro honesta - nunca um desvio pelo servidor.
- Prova offline: depois da sua primeira visita, as ferramentas continuam funcionando em modo avião - a evidência mais forte de que nada é enviado.
Transporte: TLS e HSTS
O site é entregue exclusivamente via HTTPS - TLS 1.2 e 1.3 com conjuntos de cifra modernos e certificados gerenciados automaticamente. O HTTP Strict Transport Security (HSTS) está configurado com max-age=63072000 (2 anos), incluindo subdomínios: assim, o navegador impõe HTTPS por conta própria em toda visita futura. Para contextualizar: o conteúdo dos seus arquivos nunca trafega por essa conexão, porque nunca sai do seu dispositivo - a criptografia de transporte protege a entrega do site em si.
Cabeçalhos HTTP de segurança
Cada resposta do servidor traz um conjunto completo de cabeçalhos de segurança. Os valores são configuração, não aspiração: um teste automático interrompe qualquer deploy em que um deles esteja ausente ou divergente.
| Cabeçalho e valor | Efeito |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Impõe HTTPS por 2 anos, incluindo todos os subdomínios. |
| X-Frame-Options: DENY | Impede que o site seja incorporado em frames externos (proteção contra clickjacking, garantida duplamente via frame-ancestors na CSP). |
| X-Content-Type-Options: nosniff | Impede que o navegador adivinhe tipos de conteúdo e execute arquivos como script. |
| Referrer-Policy: strict-origin-when-cross-origin | Transmite no máximo a origem para sites externos, nunca URLs completas. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Desativa 12 APIs de dispositivos e sensores (câmera, microfone, localização, USB e mais) que o site não precisa; só o modo tela cheia permanece permitido para a própria origem. |
| Cross-Origin-Opener-Policy: same-origin | Isola a janela do navegador de sites externos que a abriram. |
A Content-Security-Policy na íntegra
A CSP é o bloqueio técnico por trás da garantia de zero upload. Ela é gerada a partir de um único arquivo-fonte e exibida aqui ao vivo a partir dessa mesma fonte - todas as 15 diretivas, sem cortes:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (verificado em 09/07/2026): 0 constatações de severidade alta. Além da própria origem, connect-src permite apenas a lista de permissões de analytics documentada da camada da página - metadados, nunca conteúdo de arquivos.
Verificação independente
Três verificações externas estão firmemente planejadas e serão executadas contra o domínio ativo no lançamento público: SSL Labs (configuração TLS), Mozilla Observatory (postura de segurança HTTP) e securityheaders.com (completude dos cabeçalhos). Os resultados só são exibidos e vinculados depois que as varreduras realmente forem executadas - o gottrix nunca exibe selos ou notas não verificados, e um teste automático em cada build garante exatamente isso.
Hospedagem e localização dos dados
Os servidores de origem são operados pela Hetzner Online GmbH na Alemanha e estão sujeitos ao RGPD. Neles reside apenas o site estático: sem contas de usuário, sem conteúdo de arquivos, sem banco de dados de conteúdo. Os logs do servidor contêm apenas dados de acesso tecnicamente necessários com curto período de retenção; existe um contrato de tratamento de dados com a Hetzner. Como o processamento de arquivos acontece localmente no seu navegador, o conteúdo dos seus arquivos nunca chega a esse local de qualquer forma.
Estatísticas e consentimento
As estatísticas de uso anônimas (Google Analytics 4 com Consent Mode v2 Advanced) começam com todos os sinais definidos como recusado: sem o seu consentimento, nenhum cookie de estatística é definido e nenhum identificador é criado. Com consentimento, no máximo visualizações de página e o identificador da ferramenta usada são medidos - nunca nomes de arquivo, tamanhos de arquivo ou conteúdo de arquivos. Todos os detalhes e bases legais estão na política de privacidade.
Perguntas frequentes sobre segurança
O gottrix.app é seguro?
Sua segurança se baseia em arquitetura, não em promessas: os arquivos são processados exclusivamente de forma local no seu navegador e nunca transmitidos a um servidor - uma Content-Security-Policy rígida proíbe o código de conversão de qualquer conexão externa. Somam-se a isso TLS 1.2/1.3 com HSTS, um conjunto completo de cabeçalhos de segurança e hospedagem na Alemanha. Cada um desses pontos é verificável por você mesmo no código-fonte, na aba de rede ou pelo teste em modo avião.
Meus arquivos são enviados ou armazenados em algum lugar?
Não. A conversão roda inteiramente na memória do seu navegador; não existe nenhum endpoint de upload nem armazenamento no servidor para o conteúdo dos arquivos. A Content-Security-Policy nega ao código de motores e workers qualquer conexão com servidores externos, e um teste automático verifica isso a cada build. Feche a aba e os dados desaparecem - não há nada que precise ser apagado no servidor.
Que criptografia o gottrix.app usa?
O site é entregue exclusivamente via HTTPS com TLS 1.2 e 1.3 e conjuntos de cifra modernos; o HSTS impõe HTTPS por dois anos, incluindo subdomínios. O conteúdo dos seus arquivos não trafega por nenhuma conexão, porque nunca sai do seu dispositivo - a criptografia de transporte protege a entrega do site e os metadados de uso opcionais baseados em consentimento.
Onde os servidores são hospedados?
Os servidores de origem são operados pela Hetzner Online GmbH na Alemanha, sob o RGPD. Neles reside apenas o site estático: sem contas de usuário, sem conteúdo de arquivos, sem banco de dados de conteúdo. Como o processamento acontece localmente no seu navegador, a localização do servidor é irrelevante para o conteúdo dos seus arquivos - eles nunca o alcançam em nenhum momento.
Como posso verificar essas afirmações de segurança por conta própria?
Três formas que não exigem conhecimento especializado: o teste em modo avião (abra uma ferramenta, desconecte-se, converta - continua funcionando), a aba de rede das ferramentas de desenvolvedor (F12: nenhuma requisição de arquivo durante a conversão) e os cabeçalhos de resposta que qualquer navegador pode exibir. O guia passo a passo está na página de provas; no lançamento público, varreduras externas do SSL Labs, Mozilla Observatory e securityheaders.com são adicionadas.
Quais dados o gottrix coleta, afinal?
Sem o seu consentimento: nenhum cookie de estatística e nenhum identificador, apenas logs do servidor tecnicamente necessários com curto período de retenção. Com consentimento, o Google Analytics 4 mede o uso agregado, como visualizações de página e o identificador da ferramenta usada; nomes de arquivo, tamanhos de arquivo e conteúdo de arquivos nunca são registrados. As bases legais completas e como retirar o consentimento estão na política de privacidade.