Säkerhet hos gottrix
gottrix.app bearbetar filer 100% lokalt i din webbläsare: konverteringskoden har ingen åtkomst till någon extern server (tvingas fram av Content-Security-Policy), så en uppladdning är tekniskt omöjlig. Leveransen sker via TLS 1.2/1.3 med HSTS (2 år), en komplett uppsättning säkerhetsheadrar och hosting hos Hetzner i Tyskland. Varje påstående på den här sidan kan du verifiera själv.
Nolluppladdningsarkitektur: säkerhet genom borttagning
Vanliga onlinekonverterare laddar upp din fil till en server, bearbetar den där och skickar tillbaka resultatet - vart och ett av dessa steg är en angreppsyta. gottrix tar bort det kritiska steget helt: motorerna (för bilder, PDF, ljud, video och mer) körs som WebAssembly direkt i din webbläsare. Det som aldrig skickas kan inte fångas upp på vägen, kan inte läcka från någon server och kan inte krävas ut av någon.
Detta tvingas fram genom arkitektur, inte genom policy, med två strikt separerade zoner: koden som rör vid din fils bytes (motorer och webbworkers) är begränsad till sitt eget ursprung av Content-Security-Policy och innehåller noll nätverksanrop - ett automatiskt test verifierar detta vid varje build. Sidnivån, som aldrig ser dina filer, kan bara nå en dokumenterad tillåtelselista för analys.
- Motorer och workers: 0 nätverksprimitiv, inga externa ursprung - kontrolleras statiskt vid varje build.
- Sidnivå: externa förfrågningar bara till den dokumenterade tillåtelselistan för analys, aldrig filbytes.
- Ingen uppladdningsreserv: om den lokala bearbetningen misslyckas får du ett ärligt felmeddelande - aldrig en omväg via en server.
- Offlinebevis: efter ditt första besök fortsätter verktygen att fungera i flygplansläge - det starkaste beviset på att inget skickas.
Överföring: TLS och HSTS
Webbplatsen levereras uteslutande via HTTPS - TLS 1.2 och 1.3 med moderna cipher suites och automatiskt hanterade certifikat. HTTP Strict Transport Security (HSTS) är inställt med max-age=63072000 (2 år) inklusive subdomäner: webbläsaren tvingar därmed fram HTTPS själv vid varje framtida besök. För tydlighetens skull: innehållet i dina filer passerar aldrig denna anslutning, eftersom det aldrig lämnar din enhet - transportkrypteringen skyddar leveransen av själva webbplatsen.
HTTP-säkerhetsheadrar
Varje svar från servern bär en komplett uppsättning säkerhetsheadrar. Värdena är konfiguration, inte önsketänkande: ett automatiskt test avbryter varje driftsättning där någon av dem saknas eller avviker.
| Header och värde | Effekt |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Tvingar fram HTTPS i 2 år, inklusive alla subdomäner. |
| X-Frame-Options: DENY | Hindrar att sidan bäddas in i externa ramar (skydd mot clickjacking, dubbelt säkrat via frame-ancestors i CSP:n). |
| X-Content-Type-Options: nosniff | Hindrar webbläsaren från att gissa innehållstyper och köra filer som skript. |
| Referrer-Policy: strict-origin-when-cross-origin | Skickar högst ursprunget till externa sajter, aldrig fullständiga URL:er. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Inaktiverar 12 enhets- och sensor-API:er (kamera, mikrofon, plats, USB och mer) som sajten inte behöver; bara helskärmsläge förblir tillåtet för det egna ursprunget. |
| Cross-Origin-Opener-Policy: same-origin | Isolerar webbläsarfönstret från externa sajter som öppnat det. |
Content-Security-Policy i sin helhet
CSP:n är det tekniska låset bakom garantin om nolluppladdning. Den genereras från en enda källfil och visas här live från exakt den källan - alla 15 direktiv, oförkortade:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (kontrollerad 2026-07-09): 0 fynd med hög allvarlighetsgrad. Förutom det egna ursprunget tillåter connect-src bara sidnivåns dokumenterade tillåtelselista för analys - metadata, aldrig filinnehåll.
Oberoende verifiering
Tre externa granskningar är fast planerade och kommer att köras mot den aktiva domänen vid den offentliga lanseringen: SSL Labs (TLS-konfiguration), Mozilla Observatory (HTTP-säkerhetsläge) och securityheaders.com (fullständighet av headrar). Resultaten visas och länkas bara när skanningarna faktiskt har körts - gottrix visar principiellt aldrig overifierade sigill eller betyg, och det tvingas fram av ett automatiskt test i varje build.
Hosting och dataplats
Ursprungsservrarna drivs av Hetzner Online GmbH i Tyskland och omfattas av GDPR. På dem finns bara den statiska webbplatsen: inga användarkonton, inget filinnehåll, ingen innehållsdatabas. Serverloggar innehåller bara tekniskt nödvändig åtkomstdata med kort lagringstid; ett databehandlingsavtal med Hetzner finns. Eftersom filbearbetningen sker lokalt i din webbläsare når innehållet i dina filer den här platsen ändå aldrig.
Statistik och samtycke
Den anonyma användningsstatistiken (Google Analytics 4 med Consent Mode v2 Advanced) startar med alla signaler inställda på avvisad: utan ditt samtycke sätts ingen statistikcookie och ingen identifierare skapas. Med samtycke mäts som mest sidvisningar och identifieraren för det använda verktyget - aldrig filnamn, filstorlekar eller filinnehåll. Alla detaljer och rättsliga grunder finns i integritetspolicyn.
Vanliga frågor om säkerhet
Är gottrix.app säkert?
Säkerheten bygger på arkitektur snarare än löften: filer bearbetas uteslutande lokalt i din webbläsare och skickas aldrig till en server - en strikt Content-Security-Policy förbjuder konverteringskoden all extern anslutning. Till det kommer TLS 1.2/1.3 med HSTS, en komplett uppsättning säkerhetsheadrar och hosting i Tyskland. Var och en av dessa punkter kan du verifiera själv i källkoden, nätverksfliken eller genom testet i flygplansläge.
Laddas mina filer upp eller lagras någonstans?
Nej. Konverteringen sker helt i din webbläsares minne; det finns ingen uppladdningsendpoint och ingen serverlagring för filinnehåll. Content-Security-Policy nekar motor- och workerkoden all anslutning till externa servrar, och ett automatiskt test verifierar detta vid varje build. Stäng fliken så försvinner datan - det finns inget som behöver raderas på serversidan.
Vilken kryptering använder gottrix.app?
Webbplatsen levereras uteslutande via HTTPS med TLS 1.2 och 1.3 och moderna cipher suites; HSTS tvingar fram HTTPS i två år inklusive subdomäner. Innehållet i dina filer passerar själv aldrig någon anslutning, eftersom det aldrig lämnar din enhet - transportkrypteringen skyddar leveransen av sajten och den valfria, samtyckesbaserade användningsmetadatan.
Var hostas servrarna?
Ursprungsservrarna drivs av Hetzner Online GmbH i Tyskland, under GDPR. På dem finns bara den statiska webbplatsen: inga användarkonton, inget filinnehåll, ingen innehållsdatabas. Eftersom bearbetningen sker lokalt i din webbläsare saknar serverns placering betydelse för innehållet i dina filer - det når den aldrig.
Hur kan jag själv verifiera dessa säkerhetspåståenden?
Tre sätt som inte kräver särskild expertis: testet i flygplansläge (öppna ett verktyg, koppla från, konvertera - det fortsätter fungera), nätverksfliken i utvecklarverktygen (F12: ingen filförfrågan under konverteringen) och de svarshuvuden som varje webbläsare kan visa. Steg-för-steg-guiden finns på bevissidan; vid den offentliga lanseringen tillkommer externa skanningar från SSL Labs, Mozilla Observatory och securityheaders.com.
Vilka data samlar gottrix egentligen in?
Utan ditt samtycke: inga statistikcookies och inga identifierare, bara tekniskt nödvändiga serverloggar med kort lagringstid. Med samtycke mäter Google Analytics 4 aggregerad användning, till exempel sidvisningar och identifieraren för det använda verktyget; filnamn, filstorlekar och filinnehåll registreras aldrig. De fullständiga rättsliga grunderna och hur du återkallar samtycket finns i integritetspolicyn.