th

ความปลอดภัยของ gottrix

gottrix.app ประมวลผลไฟล์ 100% ในเบราว์เซอร์ของคุณแบบในเครื่อง โค้ดแปลงไฟล์ไม่มีสิทธิ์เข้าถึงเซิร์ฟเวอร์ภายนอกใด ๆ (บังคับใช้โดย Content-Security-Policy) การอัปโหลดจึงเป็นไปไม่ได้ในทางเทคนิค การส่งข้อมูลใช้ TLS 1.2/1.3 พร้อม HSTS (2 ปี) ชุดส่วนหัวความปลอดภัยที่ครบถ้วน และการโฮสต์ที่ Hetzner ในประเทศเยอรมนี ทุกข้อความในหน้านี้คุณสามารถตรวจสอบได้ด้วยตนเอง

สถาปัตยกรรมไม่มีการอัปโหลด: ความปลอดภัยด้วยการตัดออก

ตัวแปลงไฟล์ออนไลน์ทั่วไปจะอัปโหลดไฟล์ของคุณไปยังเซิร์ฟเวอร์ ประมวลผลที่นั่น แล้วส่งผลลัพธ์กลับมา แต่ละขั้นตอนนี้คือพื้นที่เสี่ยงต่อการโจมตี gottrix ตัดขั้นตอนสำคัญนี้ออกไปทั้งหมด เอนจิน (สำหรับรูปภาพ, PDF, เสียง, วิดีโอ และอื่น ๆ) ทำงานเป็น WebAssembly โดยตรงในเบราว์เซอร์ของคุณ สิ่งที่ไม่เคยถูกส่งออกไปเลยจะไม่สามารถถูกดักจับระหว่างทาง ไม่สามารถรั่วไหลจากเซิร์ฟเวอร์ใด ๆ และไม่สามารถถูกเรียกร้องจากใครได้

สิ่งนี้ถูกบังคับใช้ด้วยสถาปัตยกรรม ไม่ใช่ด้วยนโยบาย โดยแบ่งเป็นสองโซนที่แยกออกจากกันอย่างเข้มงวด โค้ดที่แตะต้องไบต์ของไฟล์คุณ (เอนจินและ web worker) ถูกจำกัดให้อยู่ในต้นทางของตัวเองโดย Content-Security-Policy และไม่มีการเรียกเครือข่ายใด ๆ เลย การทดสอบอัตโนมัติจะตรวจสอบสิ่งนี้ในทุกครั้งที่ build ชั้นของหน้าเว็บ ซึ่งไม่เคยเห็นไฟล์ของคุณ สามารถเข้าถึงได้เพียงรายการอนุญาตด้านการวิเคราะห์ที่มีการบันทึกไว้เท่านั้น

  • เอนจินและ worker: ไม่มีการเรียกเครือข่ายเลย ไม่มีต้นทางภายนอก ตรวจสอบแบบสถิตในทุกครั้งที่ build
  • ชั้นของหน้าเว็บ: คำขอภายนอกไปยังรายการอนุญาตด้านการวิเคราะห์ที่มีการบันทึกไว้เท่านั้น ไม่เคยส่งไบต์ของไฟล์
  • ไม่มีทางเลือกสำรองด้วยการอัปโหลด: หากการประมวลผลในเครื่องล้มเหลว คุณจะได้รับข้อความแสดงข้อผิดพลาดที่ตรงไปตรงมา ไม่ใช่การอ้อมผ่านเซิร์ฟเวอร์
  • หลักฐานแบบออฟไลน์: หลังจากการเข้าชมครั้งแรก เครื่องมือยังคงทำงานต่อในโหมดเครื่องบิน เป็นหลักฐานที่หนักแน่นที่สุดว่าไม่มีสิ่งใดถูกส่งออกไป

การส่งข้อมูล: TLS และ HSTS

เว็บไซต์ถูกส่งผ่าน HTTPS เท่านั้น ด้วย TLS 1.2 และ 1.3 พร้อมชุดการเข้ารหัสที่ทันสมัยและใบรับรองที่จัดการโดยอัตโนมัติ HTTP Strict Transport Security (HSTS) ถูกตั้งค่าด้วย max-age=63072000 (2 ปี) รวมถึงซับโดเมน เบราว์เซอร์จึงบังคับใช้ HTTPS ด้วยตัวเองในการเข้าชมทุกครั้งในอนาคต เพื่อความเข้าใจที่ชัดเจน เนื้อหาไฟล์ของคุณไม่เคยผ่านการเชื่อมต่อนี้ เพราะไม่เคยออกจากอุปกรณ์ของคุณ การเข้ารหัสการส่งข้อมูลปกป้องการส่งมอบตัวเว็บไซต์เอง

ส่วนหัวความปลอดภัยของ HTTP

ทุกการตอบกลับจากเซิร์ฟเวอร์มาพร้อมชุดส่วนหัวความปลอดภัยที่ครบถ้วน ค่าต่าง ๆ เหล่านี้คือการกำหนดค่า ไม่ใช่ความปรารถนา การทดสอบอัตโนมัติจะยกเลิกการ deploy ใด ๆ ที่ขาดหรือแตกต่างไปจากที่กำหนด

ส่วนหัวความปลอดภัยของ HTTP
ส่วนหัวและค่าผลลัพธ์
Strict-Transport-Security: max-age=63072000; includeSubDomainsบังคับใช้ HTTPS เป็นเวลา 2 ปี รวมถึงซับโดเมนทั้งหมด
X-Frame-Options: DENYป้องกันไม่ให้เว็บไซต์ถูกฝังในเฟรมภายนอก (ป้องกันการโจมตีแบบ clickjacking ซึ่งได้รับการป้องกันซ้ำผ่าน frame-ancestors ใน CSP)
X-Content-Type-Options: nosniffป้องกันไม่ให้เบราว์เซอร์เดาประเภทเนื้อหาและรันไฟล์เป็นสคริปต์
Referrer-Policy: strict-origin-when-cross-originส่งต้นทางไปยังเว็บไซต์ภายนอกอย่างมากที่สุด ไม่เคยส่ง URL แบบเต็ม
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...ปิดใช้งาน API อุปกรณ์และเซนเซอร์ 12 รายการ (กล้อง, ไมโครโฟน, ตำแหน่งที่ตั้ง, USB และอื่น ๆ) ที่เว็บไซต์ไม่จำเป็นต้องใช้ มีเพียงโหมดเต็มหน้าจอเท่านั้นที่ยังคงได้รับอนุญาตสำหรับต้นทางของตัวเอง
Cross-Origin-Opener-Policy: same-originแยกหน้าต่างเบราว์เซอร์ออกจากเว็บไซต์ภายนอกที่เปิดมัน

Content-Security-Policy ฉบับเต็ม

CSP คือกลไกล็อกทางเทคนิคที่อยู่เบื้องหลังการรับประกันการไม่มีการอัปโหลด มันถูกสร้างขึ้นจากไฟล์ต้นฉบับเพียงไฟล์เดียว และแสดงผลแบบสดที่นี่จากแหล่งเดียวกันนั้นเอง ทั้งหมด 15 คำสั่ง โดยไม่ตัดทอน:

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

Google CSP Evaluator (ตรวจสอบเมื่อวันที่ 09-07-2026): พบ 0 รายการที่มีระดับความรุนแรงสูง นอกจากต้นทางของตัวเองแล้ว connect-src อนุญาตเฉพาะรายการอนุญาตด้านการวิเคราะห์ที่มีการบันทึกไว้ของชั้นหน้าเว็บเท่านั้น เป็นเมทาดาทา ไม่เคยเป็นเนื้อหาไฟล์

การตรวจสอบโดยอิสระ

มีการวางแผนการตรวจสอบจากภายนอกสามรายการอย่างแน่นอน ซึ่งจะดำเนินการกับโดเมนที่ใช้งานจริงเมื่อเปิดตัวสู่สาธารณะ ได้แก่ SSL Labs (การกำหนดค่า TLS), Mozilla Observatory (สถานะความปลอดภัยของ HTTP) และ securityheaders.com (ความครบถ้วนของส่วนหัว) ผลลัพธ์จะแสดงและเชื่อมโยงก็ต่อเมื่อการสแกนได้ดำเนินการจริงแล้วเท่านั้น gottrix จะไม่แสดงตราหรือคะแนนที่ยังไม่ได้รับการตรวจสอบโดยหลักการ และสิ่งนี้ถูกบังคับใช้โดยการทดสอบอัตโนมัติในทุกครั้งที่ build

การโฮสต์และตำแหน่งที่ตั้งของข้อมูล

เซิร์ฟเวอร์ต้นทางดำเนินการโดย Hetzner Online GmbH ในประเทศเยอรมนี และอยู่ภายใต้ GDPR บนเซิร์ฟเวอร์เหล่านี้มีเพียงเว็บไซต์แบบสถิตเท่านั้น ไม่มีบัญชีผู้ใช้ ไม่มีเนื้อหาไฟล์ ไม่มีฐานข้อมูลเนื้อหา บันทึกของเซิร์ฟเวอร์มีเพียงข้อมูลการเข้าถึงที่จำเป็นทางเทคนิคเท่านั้น โดยมีระยะเวลาการเก็บรักษาสั้น และมีข้อตกลงการประมวลผลข้อมูลกับ Hetzner เนื่องจากการประมวลผลไฟล์เกิดขึ้นในเครื่องภายในเบราว์เซอร์ของคุณ เนื้อหาไฟล์ของคุณจึงไม่มีทางไปถึงตำแหน่งที่ตั้งนี้ได้เลย

สถิติและความยินยอม

สถิติการใช้งานแบบไม่ระบุตัวตน (Google Analytics 4 พร้อม Consent Mode v2 Advanced) เริ่มต้นด้วยสัญญาณทั้งหมดที่ตั้งค่าเป็นปฏิเสธ หากไม่มีความยินยอมจากคุณ จะไม่มีการตั้งค่าคุกกี้สถิติและไม่มีการสร้างตัวระบุใด ๆ เมื่อคุณยินยอมแล้ว จะมีการวัดผลการดูหน้าเว็บและตัวระบุของเครื่องมือที่ใช้อย่างมากที่สุดเท่านั้น ไม่เคยรวมชื่อไฟล์ ขนาดไฟล์ หรือเนื้อหาไฟล์ รายละเอียดและฐานทางกฎหมายทั้งหมดอยู่ในนโยบายความเป็นส่วนตัว

อ่านนโยบายความเป็นส่วนตัว

คำถามที่พบบ่อยเกี่ยวกับความปลอดภัย

gottrix.app ปลอดภัยหรือไม่?

ความปลอดภัยของมันตั้งอยู่บนสถาปัตยกรรม ไม่ใช่คำสัญญา ไฟล์ถูกประมวลผลในเครื่องภายในเบราว์เซอร์ของคุณเท่านั้น และไม่เคยถูกส่งไปยังเซิร์ฟเวอร์ Content-Security-Policy ที่เข้มงวดห้ามไม่ให้โค้ดแปลงไฟล์เชื่อมต่อภายนอกใด ๆ นอกจากนี้ยังมี TLS 1.2/1.3 พร้อม HSTS ชุดส่วนหัวความปลอดภัยที่ครบถ้วน และการโฮสต์ในประเทศเยอรมนี ทุกจุดเหล่านี้คุณสามารถตรวจสอบได้เองในซอร์สโค้ด แท็บเครือข่าย หรือผ่านการทดสอบโหมดเครื่องบิน

ไฟล์ของฉันถูกอัปโหลดหรือจัดเก็บไว้ที่ไหนหรือไม่?

ไม่ การแปลงไฟล์เกิดขึ้นทั้งหมดในหน่วยความจำของเบราว์เซอร์คุณ ไม่มีจุดปลายทางสำหรับอัปโหลดใด ๆ และไม่มีการจัดเก็บฝั่งเซิร์ฟเวอร์สำหรับเนื้อหาไฟล์ Content-Security-Policy ปฏิเสธไม่ให้โค้ดของเอนจินและ worker เชื่อมต่อกับเซิร์ฟเวอร์ภายนอกใด ๆ และการทดสอบอัตโนมัติจะตรวจสอบสิ่งนี้ในทุกครั้งที่ build ปิดแท็บแล้วข้อมูลก็หายไป ไม่มีสิ่งใดที่ต้องลบที่ฝั่งเซิร์ฟเวอร์

gottrix.app ใช้การเข้ารหัสแบบใด?

เว็บไซต์ถูกส่งผ่าน HTTPS เท่านั้น โดยใช้ TLS 1.2 และ 1.3 พร้อมชุดการเข้ารหัสที่ทันสมัย HSTS บังคับใช้ HTTPS เป็นเวลาสองปี รวมถึงซับโดเมน เนื้อหาไฟล์ของคุณเองไม่เคยผ่านการเชื่อมต่อใด ๆ เพราะไม่เคยออกจากอุปกรณ์ของคุณ การเข้ารหัสการส่งข้อมูลปกป้องการส่งมอบเว็บไซต์และเมทาดาทาการใช้งานที่เป็นทางเลือกซึ่งขึ้นอยู่กับความยินยอม

เซิร์ฟเวอร์ถูกโฮสต์ที่ไหน?

เซิร์ฟเวอร์ต้นทางดำเนินการโดย Hetzner Online GmbH ในประเทศเยอรมนี ภายใต้ GDPR บนเซิร์ฟเวอร์เหล่านี้มีเพียงเว็บไซต์แบบสถิตเท่านั้น ไม่มีบัญชีผู้ใช้ ไม่มีเนื้อหาไฟล์ ไม่มีฐานข้อมูลเนื้อหา เนื่องจากการประมวลผลเกิดขึ้นในเครื่องภายในเบราว์เซอร์ของคุณ ตำแหน่งที่ตั้งของเซิร์ฟเวอร์จึงไม่มีความสำคัญต่อเนื้อหาไฟล์ของคุณ มันไม่เคยไปถึงที่นั่นเลย

ฉันจะตรวจสอบข้อความอ้างสิทธิ์ด้านความปลอดภัยเหล่านี้ได้ด้วยตนเองอย่างไร?

มีสามวิธีที่ไม่ต้องใช้ความเชี่ยวชาญพิเศษ ได้แก่ การทดสอบโหมดเครื่องบิน (เปิดเครื่องมือ ตัดการเชื่อมต่อ แปลงไฟล์ - มันยังคงทำงานต่อไป), แท็บเครือข่ายของเครื่องมือสำหรับนักพัฒนา (F12: ไม่มีการร้องขอไฟล์ระหว่างการแปลง) และส่วนหัวการตอบกลับที่เบราว์เซอร์ใดก็ตามสามารถแสดงได้ คำแนะนำแบบทีละขั้นตอนอยู่ในหน้าหลักฐาน เมื่อเปิดตัวสู่สาธารณะ จะมีการเพิ่มการสแกนจากภายนอกโดย SSL Labs, Mozilla Observatory และ securityheaders.com

gottrix เก็บรวบรวมข้อมูลอะไรบ้าง?

หากไม่มีความยินยอมจากคุณ จะไม่มีคุกกี้สถิติและไม่มีตัวระบุใด ๆ มีเพียงบันทึกของเซิร์ฟเวอร์ที่จำเป็นทางเทคนิคเท่านั้น โดยมีระยะเวลาการเก็บรักษาสั้น เมื่อคุณยินยอมแล้ว Google Analytics 4 จะวัดผลการใช้งานแบบรวม เช่น การดูหน้าเว็บและตัวระบุของเครื่องมือที่ใช้ ชื่อไฟล์ ขนาดไฟล์ และเนื้อหาไฟล์จะไม่ถูกบันทึกเลย ฐานทางกฎหมายทั้งหมดและวิธีการเพิกถอนความยินยอมอยู่ในนโยบายความเป็นส่วนตัว

ตรวจสอบเรื่องนี้ได้อย่างไร