Sicherheit bei gottrix
gottrix.app verarbeitet Dateien zu 100% lokal im Browser: Der Umwandlungs-Code hat per Content-Security-Policy keinerlei Zugriff auf fremde Server, ein Upload ist technisch ausgeschlossen. Die Auslieferung läuft über TLS 1.2/1.3 mit HSTS (2 Jahre), einem vollständigen Satz Sicherheits-Header und Hosting bei Hetzner in Deutschland. Jeder Punkt auf dieser Seite ist selbst nachprüfbar.
Null-Upload-Architektur: Sicherheit durch Wegfall
Übliche Online-Konverter laden deine Datei auf einen Server, verarbeiten sie dort und schicken das Ergebnis zurück - jeder dieser Schritte ist eine Angriffsfläche. gottrix lässt den kritischen Schritt komplett entfallen: Die Engines (etwa für Bilder, PDFs, Audio und Video) laufen als WebAssembly direkt in deinem Browser. Was nie übertragen wird, kann unterwegs nicht abgefangen, auf keinem Server geleakt und von niemandem herausverlangt werden.
Durchgesetzt wird das nicht per Richtlinie, sondern per Architektur mit zwei strikt getrennten Zonen: Der Code, der deine Datei-Bytes berührt (Engines und Web-Worker), ist per Content-Security-Policy auf die eigene Origin beschränkt und enthält null Netzwerk-Aufrufe - das prüft ein automatischer Test bei jedem Build. Die Seiten-Ebene, die deine Dateien nie sieht, darf ausschließlich eine dokumentierte Analytics-Allowlist erreichen.
- Engines und Worker: 0 Netzwerk-Primitive, keine fremden Origins - statisch geprüft bei jedem Build.
- Seiten-Ebene: fremde Requests nur an die dokumentierte Analytics-Allowlist, nie Datei-Bytes.
- Kein Upload-Fallback: Schlägt die lokale Verarbeitung fehl, gibt es eine ehrliche Fehlermeldung - nie einen Server-Umweg.
- Offline-Beweis: Nach dem ersten Besuch funktionieren die Tools auch im Flugmodus - der stärkste Beleg, dass nichts gesendet wird.
Transport: TLS und HSTS
Die Website wird ausschließlich über HTTPS ausgeliefert - TLS 1.2 und 1.3 mit modernen Cipher-Suites und automatisch verwalteten Zertifikaten. HTTP Strict Transport Security (HSTS) ist mit max-age=63072000 (2 Jahre) inklusive Subdomains gesetzt: Der Browser erzwingt HTTPS damit auch bei allen künftigen Besuchen von sich aus. Zur Einordnung: Deine Datei-Inhalte durchlaufen diese Verbindung nie, denn sie verlassen dein Gerät nicht - die Transportverschlüsselung schützt die Auslieferung der Seite selbst.
HTTP-Sicherheits-Header
Jede Antwort des Servers trägt einen vollständigen Satz Sicherheits-Header. Die Werte sind kein Anspruch, sondern Konfiguration: Ein automatischer Test bricht jeden Deploy ab, bei dem einer fehlt oder abweicht.
| Header und Wert | Wirkung |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Erzwingt HTTPS für 2 Jahre, inklusive aller Subdomains. |
| X-Frame-Options: DENY | Kein Einbetten der Seite in fremde Frames (Clickjacking-Schutz, doppelt abgesichert über frame-ancestors in der CSP). |
| X-Content-Type-Options: nosniff | Verhindert, dass der Browser Inhaltstypen errät und Dateien als Skript ausführt. |
| Referrer-Policy: strict-origin-when-cross-origin | Gibt an fremde Seiten höchstens die Origin weiter, nie vollständige URLs. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Deaktiviert 12 Geräte- und Sensor-APIs (Kamera, Mikrofon, Standort, USB u. a.), die die Seite nicht braucht; nur der Vollbildmodus bleibt der eigenen Origin erlaubt. |
| Cross-Origin-Opener-Policy: same-origin | Isoliert das Browserfenster von fremden Seiten, die es geöffnet haben. |
Die Content-Security-Policy im Volltext
Die CSP ist die technische Sperre hinter der Null-Upload-Garantie. Sie wird aus einer einzigen Quelldatei erzeugt und hier live aus genau dieser Quelle gerendert - alle 15 Direktiven, ungekürzt:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (geprüft am 2026-07-09): 0 Befunde der Stufe High. connect-src erlaubt neben der eigenen Origin ausschließlich die dokumentierte Analytics-Allowlist der Seiten-Ebene - Metadaten, nie Datei-Inhalte.
Unabhängige Überprüfung
Drei externe Prüfungen sind fest eingeplant und laufen zum öffentlichen Start gegen die Live-Domain: SSL Labs (TLS-Konfiguration), Mozilla Observatory (HTTP-Sicherheitslage) und securityheaders.com (Header-Vollständigkeit). Die Ergebnisse werden erst angezeigt und verlinkt, wenn die Scans tatsächlich gelaufen sind - gottrix zeigt grundsätzlich keine unverifizierten Siegel oder Noten, und genau das erzwingt ein automatischer Test in jedem Build.
Hosting und Datenstandort
Die Origin-Server stehen bei der Hetzner Online GmbH in Deutschland und unterliegen der DSGVO. Auf ihnen liegt ausschließlich die statische Website: keine Nutzerkonten, keine Datei-Inhalte, keine Inhalts-Datenbank. Server-Logs enthalten nur technisch notwendige Zugriffsdaten mit kurzer Speicherdauer; ein Auftragsverarbeitungsvertrag mit Hetzner besteht. Da die Datei-Verarbeitung lokal im Browser stattfindet, erreichen deine Datei-Inhalte diesen Standort ohnehin nie.
Statistik und Einwilligung
Die anonyme Nutzungs-Statistik (Google Analytics 4 mit Consent Mode v2 Advanced) startet mit allen Signalen auf abgelehnt: Ohne deine Zustimmung wird kein Statistik-Cookie gesetzt und keine Kennung gebildet. Mit Zustimmung werden höchstens Seitenaufrufe und die Kennung des genutzten Werkzeugs gemessen - nie Dateinamen, Dateigrößen oder Datei-Inhalte. Alle Details und Rechtsgrundlagen stehen in der Datenschutzerklärung.
Häufige Fragen zur Sicherheit
Ist gottrix.app sicher?
Die Sicherheit beruht auf Architektur statt Versprechen: Dateien werden ausschließlich lokal im Browser verarbeitet und nie an Server übertragen - eine strikte Content-Security-Policy verbietet dem Umwandlungs-Code jede fremde Verbindung. Dazu kommen TLS 1.2/1.3 mit HSTS, ein vollständiger Satz Sicherheits-Header und Hosting in Deutschland. Jeder dieser Punkte ist im Quelltext, im Netzwerk-Tab oder per Flugmodus-Test selbst nachprüfbar.
Werden meine Dateien hochgeladen oder gespeichert?
Nein. Die Umwandlung läuft komplett im Arbeitsspeicher deines Browsers; es existiert kein Upload-Endpunkt und kein Server-Speicher für Datei-Inhalte. Die Content-Security-Policy erlaubt dem Engine- und Worker-Code keinerlei Verbindung zu fremden Servern, und ein automatischer Test prüft das bei jedem Build. Schließt du den Tab, sind die Daten weg - es gibt nichts, was serverseitig gelöscht werden müsste.
Welche Verschlüsselung verwendet gottrix.app?
Die Website wird ausschließlich über HTTPS mit TLS 1.2 und 1.3 und modernen Cipher-Suites ausgeliefert; HSTS erzwingt HTTPS für zwei Jahre inklusive Subdomains. Deine Datei-Inhalte selbst durchlaufen dabei keine Verbindung, weil sie das Gerät nie verlassen - die Transportverschlüsselung schützt die Auslieferung der Seite und die optionalen, einwilligungsbasierten Nutzungs-Metadaten.
Wo werden die Server gehostet?
Die Origin-Server stehen bei der Hetzner Online GmbH in Deutschland, es gilt die DSGVO. Dort liegt ausschließlich die statische Website: keine Nutzerkonten, keine Datei-Inhalte, keine Inhalts-Datenbank. Da die Verarbeitung lokal in deinem Browser stattfindet, ist der Serverstandort für deine Datei-Inhalte ohne Bedeutung - sie erreichen ihn zu keinem Zeitpunkt.
Wie kann ich die Sicherheitsangaben selbst überprüfen?
Drei Wege ohne Spezialwissen: der Flugmodus-Test (Tool öffnen, Verbindung trennen, konvertieren - es funktioniert weiter), der Netzwerk-Tab der Entwicklertools (F12: kein Datei-Request beim Konvertieren) und die Response-Header, die jeder Browser anzeigt. Die Schritt-für-Schritt-Anleitung steht auf der Beweis-Seite; zum öffentlichen Start kommen externe Scans von SSL Labs, Mozilla Observatory und securityheaders.com dazu.
Welche Daten erfasst gottrix überhaupt?
Ohne deine Einwilligung: keine Statistik-Cookies und keine Kennungen, nur technisch notwendige Server-Logs mit kurzer Speicherdauer. Mit Einwilligung misst Google Analytics 4 aggregierte Nutzung, etwa Seitenaufrufe und die Kennung des genutzten Werkzeugs; Dateinamen, Dateigrößen und Datei-Inhalte werden nie erfasst. Die vollständigen Rechtsgrundlagen und Widerrufswege stehen in der Datenschutzerklärung.