ru

Безопасность gottrix

gottrix.app обрабатывает файлы на 100% локально в вашем браузере: код преобразования не имеет доступа ни к одному внешнему серверу (обеспечено Content-Security-Policy), поэтому загрузка технически невозможна. Доставка выполняется по TLS 1.2/1.3 с HSTS (2 года), полным набором заголовков безопасности и хостингом у Hetzner в Германии. Каждое утверждение на этой странице можно проверить самостоятельно.

Архитектура нулевой загрузки: безопасность через устранение

Обычные онлайн-конвертеры загружают ваш файл на сервер, обрабатывают его там и отправляют результат обратно - каждый из этих шагов является поверхностью атаки. gottrix полностью устраняет этот критический шаг: движки (для изображений, PDF, аудио, видео и других форматов) выполняются как WebAssembly прямо в вашем браузере. То, что никогда не передаётся, невозможно перехватить в пути, невозможно получить утечкой ни с одного сервера и невозможно потребовать ни у кого.

Это обеспечивается архитектурой, а не политикой, за счёт двух строго разделённых зон: код, касающийся байтов вашего файла (движки и веб-воркеры), ограничен собственным источником через Content-Security-Policy и не содержит никаких сетевых вызовов - автоматический тест проверяет это при каждой сборке. Уровень страницы, который никогда не видит ваши файлы, может обращаться только к документированному списку разрешённых доменов аналитики.

  • Движки и воркеры: 0 сетевых примитивов, никаких сторонних доменов - проверяется статически при каждой сборке.
  • Уровень страницы: внешние запросы только к документированному списку разрешённых доменов аналитики, никогда - байты файлов.
  • Нет резервного варианта с загрузкой: если локальная обработка не удалась, вы получаете честное сообщение об ошибке - никогда не обход через сервер.
  • Офлайн-доказательство: после первого посещения инструменты продолжают работать в режиме полёта - самое сильное доказательство того, что ничего не отправляется.

Транспорт: TLS и HSTS

Сайт доставляется исключительно по HTTPS - TLS 1.2 и 1.3 с современными наборами шифров и автоматически управляемыми сертификатами. HTTP Strict Transport Security (HSTS) настроен с max-age=63072000 (2 года), включая поддомены: браузер самостоятельно обеспечивает HTTPS при каждом будущем посещении. Для понимания: содержимое ваших файлов никогда не проходит через это соединение, потому что оно никогда не покидает ваше устройство - транспортное шифрование защищает доставку самого сайта.

HTTP-заголовки безопасности

Каждый ответ сервера несёт полный набор заголовков безопасности. Значения - это конфигурация, а не пожелание: автоматический тест прерывает любой деплой, в котором один из них отсутствует или отличается.

HTTP-заголовки безопасности
Заголовок и значениеЭффект
Strict-Transport-Security: max-age=63072000; includeSubDomainsОбеспечивает HTTPS в течение 2 лет, включая все поддомены.
X-Frame-Options: DENYЗапрещает встраивание сайта во внешние фреймы (защита от кликджекинга, дополнительно обеспечена через frame-ancestors в CSP).
X-Content-Type-Options: nosniffНе позволяет браузеру угадывать типы содержимого и запускать файлы как скрипты.
Referrer-Policy: strict-origin-when-cross-originПередаёт внешним сайтам не более чем источник, никогда полный URL.
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...Отключает 12 API устройств и датчиков (камера, микрофон, геолокация, USB и другие), которые сайту не нужны; разрешён только полноэкранный режим для собственного источника.
Cross-Origin-Opener-Policy: same-originИзолирует окно браузера от внешних сайтов, которые его открыли.

Полный текст Content-Security-Policy

CSP - это технический замок за гарантией нулевой загрузки. Она формируется из единственного исходного файла и отображается здесь в реальном времени именно из этого источника - все 15 директив, без сокращений:

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

Google CSP Evaluator (проверено 09.07.2026): 0 замечаний высокой степени серьёзности. Помимо собственного источника, connect-src разрешает только документированный список разрешённых доменов аналитики уровня страницы - метаданные, никогда содержимое файлов.

Независимая проверка

Запланированы три внешние проверки, которые будут выполнены на действующем домене при публичном запуске: SSL Labs (конфигурация TLS), Mozilla Observatory (состояние HTTP-безопасности) и securityheaders.com (полнота заголовков). Результаты показываются и связываются только после того, как проверки действительно выполнены - gottrix принципиально не показывает непроверенные знаки или оценки, и это обеспечивается автоматическим тестом при каждой сборке.

Хостинг и расположение данных

Исходные серверы обслуживаются Hetzner Online GmbH в Германии и подчиняются GDPR. На них находится только статический сайт: никаких учётных записей пользователей, никакого содержимого файлов, никакой базы данных содержимого. Логи сервера содержат только технически необходимые данные доступа с коротким сроком хранения; с Hetzner заключён договор на обработку данных. Поскольку обработка файлов происходит локально в вашем браузере, содержимое ваших файлов в любом случае никогда не достигает этого места.

Статистика и согласие

Анонимная статистика использования (Google Analytics 4 с Consent Mode v2 Advanced) начинается со всех сигналов, установленных на «отклонено»: без вашего согласия не устанавливается статистический файл cookie и не создаётся идентификатор. При согласии измеряются максимум просмотры страниц и идентификатор используемого инструмента - никогда имена файлов, размеры файлов или содержимое файлов. Все подробности и правовые основания указаны в политике конфиденциальности.

Перейти к политике конфиденциальности

Частые вопросы о безопасности

Безопасен ли gottrix.app?

Его безопасность основана на архитектуре, а не на обещаниях: файлы обрабатываются исключительно локально в вашем браузере и никогда не передаются на сервер - строгая Content-Security-Policy запрещает коду преобразования любое внешнее соединение. К этому добавляются TLS 1.2/1.3 с HSTS, полный набор заголовков безопасности и хостинг в Германии. Каждый из этих пунктов можно проверить самостоятельно в исходном коде, на вкладке сети или с помощью теста в режиме полёта.

Загружаются или сохраняются ли мои файлы где-либо?

Нет. Преобразование полностью выполняется в памяти вашего браузера; не существует ни конечной точки загрузки, ни серверного хранения содержимого файлов. Content-Security-Policy запрещает коду движков и воркеров любое соединение с внешними серверами, и автоматический тест проверяет это при каждой сборке. Закройте вкладку - и данные исчезнут: на сервере нечего удалять.

Какое шифрование использует gottrix.app?

Сайт доставляется исключительно по HTTPS с TLS 1.2 и 1.3 и современными наборами шифров; HSTS обеспечивает HTTPS в течение двух лет, включая поддомены. Содержимое ваших файлов при этом никогда не проходит ни через одно соединение, потому что никогда не покидает ваше устройство - транспортное шифрование защищает доставку сайта и необязательные метаданные использования на основе согласия.

Где размещены серверы?

Исходные серверы обслуживаются Hetzner Online GmbH в Германии, в соответствии с GDPR. На них находится только статический сайт: никаких учётных записей пользователей, никакого содержимого файлов, никакой базы данных содержимого. Поскольку обработка происходит локально в вашем браузере, расположение сервера не имеет значения для содержимого ваших файлов - оно никогда его не достигает.

Как я могу самостоятельно проверить эти утверждения о безопасности?

Три способа, не требующих специальных знаний: тест в режиме полёта (откройте инструмент, отключитесь, преобразуйте - всё продолжает работать), вкладка сети инструментов разработчика (F12: никаких запросов файлов во время преобразования) и заголовки ответа, которые может показать любой браузер. Пошаговое руководство находится на странице доказательств; при публичном запуске добавятся внешние проверки SSL Labs, Mozilla Observatory и securityheaders.com.

Какие данные вообще собирает gottrix?

Без вашего согласия: никаких статистических файлов cookie и идентификаторов, только технически необходимые логи сервера с коротким сроком хранения. При согласии Google Analytics 4 измеряет агрегированное использование, например просмотры страниц и идентификатор используемого инструмента; имена файлов, размеры файлов и содержимое файлов никогда не записываются. Полные правовые основания и способ отзыва согласия указаны в политике конфиденциальности.

Как это можно проверить