sw

Usalama katika gottrix

gottrix.app huchakata faili 100% kwa ndani kwenye kivinjari chako: msimbo wa ubadilishaji hauna uwezo wa kufikia seva yoyote ya nje (unazuiliwa na Content-Security-Policy), hivyo upakiaji hauwezekani kiufundi. Utoaji hufanyika kupitia TLS 1.2/1.3 pamoja na HSTS (miaka 2), seti kamili ya vichwa vya habari vya usalama, na uwekaji seva kwa Hetzner nchini Ujerumani. Kila dai kwenye ukurasa huu unaweza kulithibitisha mwenyewe.

Muundo wa kutopakia: usalama kwa kuondoa

Vibadilishaji vya kawaida vya mtandaoni hupakia faili yako kwenye seva, kuichakata huko, na kutuma matokeo kurudi - kila hatua kati ya hizi ni eneo la mashambulizi. gottrix inaondoa kabisa hatua hii muhimu: injini (za picha, PDF, sauti, video na zaidi) huendeshwa kama WebAssembly moja kwa moja kwenye kivinjari chako. Kile ambacho hakiwahi kutumwa hakiwezi kunaswa njiani, hakiwezi kuvuja kutoka seva yoyote, na hakiwezi kudaiwa na yeyote.

Hili linazuiliwa na muundo, si na sera, kwa kanda mbili zilizotenganishwa kwa ukali: msimbo unaogusa baiti za faili yako (injini na web worker) umezuiliwa kwa chanzo chake pekee na Content-Security-Policy na hauna wito wowote wa mtandao - jaribio la kiotomatiki huthibitisha hili kwenye kila ujenzi. Safu ya ukurasa, ambayo haioni kamwe faili zako, inaweza kufikia tu orodha ya ruhusa ya uchambuzi iliyoandikwa.

  • Injini na worker: primitives za mtandao 0, hakuna chanzo cha nje - hukaguliwa kwa njia tuli kwenye kila ujenzi.
  • Safu ya ukurasa: maombi ya nje ni tu kwa orodha ya ruhusa ya uchambuzi iliyoandikwa, kamwe si baiti za faili.
  • Hakuna njia mbadala ya upakiaji: ikiwa uchakataji wa ndani utashindwa, unapata ujumbe wa hitilafu wa kweli - kamwe si njia ya mzunguko kupitia seva.
  • Uthibitisho wa nje ya mtandao: baada ya ziara yako ya kwanza, zana huendelea kufanya kazi katika hali ya ndege - ushahidi imara zaidi kwamba hakuna kinachotumwa.

Usafirishaji: TLS na HSTS

Tovuti hutolewa tu kupitia HTTPS - TLS 1.2 na 1.3 pamoja na seti za usimbaji za kisasa na vyeti vinavyosimamiwa kiotomatiki. HTTP Strict Transport Security (HSTS) imewekwa kwa max-age=63072000 (miaka 2) ikiwa ni pamoja na vikoa vidogo: hivyo kivinjari hujilazimisha HTTPS chenyewe kwenye kila ziara ijayo. Kwa uwazi: yaliyomo kwenye faili zako hayapiti kamwe kupitia muunganisho huu, kwa sababu haziondoki kamwe kwenye kifaa chako - usimbaji wa usafirishaji hulinda utoaji wa tovuti yenyewe.

Vichwa vya habari vya usalama vya HTTP

Kila jibu kutoka kwa seva hubeba seti kamili ya vichwa vya habari vya usalama. Thamani hizi ni mipangilio, si matarajio: jaribio la kiotomatiki husimamisha uwekaji wowote ambao kimoja kati ya hivyo kinakosekana au kinatofautiana.

Vichwa vya habari vya usalama vya HTTP
Kichwa cha habari na thamaniAthari
Strict-Transport-Security: max-age=63072000; includeSubDomainsInalazimisha HTTPS kwa miaka 2, ikiwa ni pamoja na vikoa vidogo vyote.
X-Frame-Options: DENYInazuia tovuti kuwekwa ndani ya fremu za nje (ulinzi dhidi ya clickjacking, iliyoimarishwa mara mbili kupitia frame-ancestors kwenye CSP).
X-Content-Type-Options: nosniffInazuia kivinjari kubashiri aina za maudhui na kuendesha faili kama script.
Referrer-Policy: strict-origin-when-cross-originHutuma kwa tovuti za nje chanzo tu, kamwe URL kamili.
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...Inazima API 12 za vifaa na sensa (kamera, kipaza sauti, mahali, USB na zaidi) ambazo tovuti haihitaji; hali ya skrini nzima pekee ndiyo inaruhusiwa kwa chanzo chake.
Cross-Origin-Opener-Policy: same-originInatenga dirisha la kivinjari kutoka tovuti za nje zilizolifungua.

Content-Security-Policy kamili

CSP ni kufuli la kiufundi nyuma ya dhamana ya kutopakia. Inazalishwa kutoka faili moja ya chanzo na inaonyeshwa hapa moja kwa moja kutoka chanzo hicho hicho - maelekezo yote 15, bila kufupishwa:

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

Google CSP Evaluator (ilikaguliwa tarehe 09-07-2026): matokeo 0 ya uzito wa juu. Mbali na chanzo chake, connect-src inaruhusu tu orodha ya ruhusa ya uchambuzi iliyoandikwa ya safu ya ukurasa - data za ziada tu, kamwe maudhui ya faili.

Uthibitishaji huru

Ukaguzi tatu wa nje umepangwa kwa hakika na utafanywa dhidi ya kikoa halisi wakati wa uzinduzi wa umma: SSL Labs (mipangilio ya TLS), Mozilla Observatory (hali ya usalama ya HTTP), na securityheaders.com (ukamilifu wa vichwa vya habari). Matokeo yanaonyeshwa na kuunganishwa tu baada ya ukaguzi kufanywa kikamilifu - gottrix kimsingi haionyeshi kamwe mihuri au alama ambazo hazijathibitishwa, na hili linazuiliwa na jaribio la kiotomatiki kwenye kila ujenzi.

Uwekaji seva na eneo la data

Seva za chanzo zinaendeshwa na Hetzner Online GmbH nchini Ujerumani na zinatawaliwa na GDPR. Juu yake kuna tu tovuti tuli: hakuna akaunti za watumiaji, hakuna maudhui ya faili, hakuna hifadhidata ya maudhui. Kumbukumbu za seva zina tu data ya ufikiaji inayohitajika kiufundi kwa muda mfupi wa kuhifadhi; kuna makubaliano ya uchakataji wa data na Hetzner. Kwa kuwa uchakataji wa faili unafanyika kwa ndani kwenye kivinjari chako, yaliyomo kwenye faili zako hayafikii kamwe eneo hili hata hivyo.

Takwimu na idhini

Takwimu isiyojulikana ya matumizi (Google Analytics 4 pamoja na Consent Mode v2 Advanced) huanza na ishara zote zikiwa zimewekwa kwenye kukataliwa: bila idhini yako, hakuna kuki ya takwimu inayowekwa na hakuna kitambulisho kinachoundwa. Kwa idhini, angalau mionekano ya ukurasa na kitambulisho cha zana iliyotumika hupimwa - kamwe si majina ya faili, ukubwa wa faili, au maudhui ya faili. Maelezo yote na msingi wa kisheria uko kwenye sera ya faragha.

Soma sera ya faragha

Maswali yanayoulizwa mara kwa mara kuhusu usalama

Je, gottrix.app ni salama?

Usalama wake unategemea muundo badala ya ahadi: faili huchakatwa tu kwa ndani kwenye kivinjari chako na kamwe hazitumwi kwa seva yoyote - Content-Security-Policy kali inazuia msimbo wa ubadilishaji muunganisho wowote wa nje. Kwa kuongezea kuna TLS 1.2/1.3 pamoja na HSTS, seti kamili ya vichwa vya habari vya usalama, na uwekaji seva nchini Ujerumani. Kila moja ya vipengele hivi unaweza kuthibitisha mwenyewe kwenye msimbo wa chanzo, kichupo cha mtandao, au kupitia jaribio la hali ya ndege.

Je, faili zangu zinapakiwa au kuhifadhiwa mahali fulani?

Hapana. Ubadilishaji unafanyika kikamilifu kwenye kumbukumbu ya kivinjari chako; hakuna sehemu ya mwisho ya upakiaji na hakuna uhifadhi wa upande wa seva kwa maudhui ya faili. Content-Security-Policy inakataa msimbo wa injini na worker muunganisho wowote na seva za nje, na jaribio la kiotomatiki hulithibitisha hili kwenye kila ujenzi. Funga kichupo, na data hupotea - hakuna kitu kinachohitaji kufutwa upande wa seva.

gottrix.app inatumia usimbaji gani?

Tovuti hutolewa tu kupitia HTTPS pamoja na TLS 1.2 na 1.3 na seti za usimbaji za kisasa; HSTS inalazimisha HTTPS kwa miaka miwili ikiwa ni pamoja na vikoa vidogo. Yaliyomo kwenye faili zako yenyewe hayapiti kamwe kupitia muunganisho wowote, kwa sababu haziondoki kamwe kwenye kifaa chako - usimbaji wa usafirishaji hulinda utoaji wa tovuti na data za ziada za matumizi za hiari zinazotegemea idhini.

Seva ziko wapi?

Seva za chanzo zinaendeshwa na Hetzner Online GmbH nchini Ujerumani, chini ya GDPR. Juu yake kuna tu tovuti tuli: hakuna akaunti za watumiaji, hakuna maudhui ya faili, hakuna hifadhidata ya maudhui. Kwa kuwa uchakataji unafanyika kwa ndani kwenye kivinjari chako, eneo la seva halina umuhimu kwa maudhui ya faili zako - kamwe hazifikii huko.

Ninawezaje kuthibitisha madai haya ya usalama mwenyewe?

Njia tatu zisizohitaji utaalamu maalum: jaribio la hali ya ndege (fungua zana, katiza muunganisho, badilisha - inaendelea kufanya kazi), kichupo cha mtandao cha zana za wasanidi programu (F12: hakuna ombi la faili wakati wa ubadilishaji), na vichwa vya habari vya jibu ambavyo kivinjari chochote kinaweza kuonyesha. Mwongozo wa hatua kwa hatua uko kwenye ukurasa wa uthibitisho; wakati wa uzinduzi wa umma, ukaguzi wa nje kutoka SSL Labs, Mozilla Observatory, na securityheaders.com utaongezwa.

gottrix inakusanya data gani hasa?

Bila idhini yako: hakuna kuki za takwimu na hakuna vitambulisho, ni kumbukumbu za seva zinazohitajika kiufundi tu kwa muda mfupi wa kuhifadhi. Kwa idhini, Google Analytics 4 hupima matumizi ya jumla, kama vile mionekano ya ukurasa na kitambulisho cha zana iliyotumika; majina ya faili, ukubwa wa faili, na maudhui ya faili kamwe hayarekodiwi. Msingi kamili wa kisheria na jinsi ya kuondoa idhini uko kwenye sera ya faragha.

Jinsi hili linavyoweza kuthibitishwa