gottrix güvenliği
gottrix.app, dosyaları tarayıcınızda %100 yerel olarak işler: dönüştürme kodunun hiçbir dış sunucuya erişimi yoktur (Content-Security-Policy tarafından zorunlu kılınır), bu yüzden yükleme teknik olarak imkânsızdır. Sunum, HSTS (2 yıl) ile TLS 1.2/1.3, eksiksiz bir güvenlik başlıkları kümesi ve Almanya’daki Hetzner barındırması üzerinden yapılır. Bu sayfadaki her iddia kendiniz doğrulanabilir.
Sıfır yükleme mimarisi: ortadan kaldırarak güvenlik
Alışılmış çevrimiçi dönüştürücüler dosyanızı bir sunucuya yükler, orada işler ve sonucu geri gönderir - bu adımların her biri bir saldırı yüzeyidir. gottrix bu kritik adımı tamamen ortadan kaldırır: motorlar (görüntüler, PDF’ler, ses, video ve daha fazlası için) doğrudan tarayıcınızda WebAssembly olarak çalışır. Asla iletilmeyen bir şey yolda ele geçirilemez, hiçbir sunucudan sızamaz ve kimseden talep edilemez.
Bu, politika ile değil mimari ile zorunlu kılınır; kesin biçimde ayrılmış iki bölge sayesinde: dosyanızın baytlarına dokunan kod (motorlar ve web workerlar), Content-Security-Policy tarafından kendi kaynağıyla sınırlandırılır ve sıfır ağ çağrısı içerir - her build’de otomatik bir test bunu doğrular. Dosyalarınızı asla görmeyen sayfa katmanı, yalnızca belgelenmiş bir analitik izin listesine erişebilir.
- Motorlar ve workerlar: 0 ağ ilkeli, dış kaynak yok - her build’de statik olarak kontrol edilir.
- Sayfa katmanı: dış istekler yalnızca belgelenmiş analitik izin listesine, asla dosya baytlarına değil.
- Yükleme yedeği yok: yerel işleme başarısız olursa dürüst bir hata mesajı alırsınız - asla sunucu üzerinden bir dolambaç değil.
- Çevrimdışı kanıt: ilk ziyaretinizden sonra araçlar uçak modunda da çalışmaya devam eder - hiçbir şey gönderilmediğinin en güçlü kanıtı.
Aktarım: TLS ve HSTS
Web sitesi yalnızca HTTPS üzerinden sunulur - modern şifreleme paketleri ve otomatik yönetilen sertifikalarla TLS 1.2 ve 1.3. HTTP Strict Transport Security (HSTS), alt alan adları dahil max-age=63072000 (2 yıl) ile ayarlanmıştır: tarayıcı böylece gelecekteki her ziyarette HTTPS’i kendiliğinden zorunlu kılar. Netleştirmek gerekirse: dosya içerikleriniz bu bağlantı üzerinden asla geçmez, çünkü cihazınızdan asla ayrılmaz - aktarım şifrelemesi sitenin sunumunun kendisini korur.
HTTP güvenlik başlıkları
Sunucudan gelen her yanıt eksiksiz bir güvenlik başlıkları kümesi taşır. Değerler bir istek değil, bir yapılandırmadır: otomatik bir test, herhangi birinin eksik olduğu veya farklılaştığı her dağıtımı durdurur.
| Başlık ve değer | Etki |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | HTTPS’i tüm alt alan adları dahil 2 yıl boyunca zorunlu kılar. |
| X-Frame-Options: DENY | Sitenin dış çerçevelere gömülmesini engeller (clickjacking koruması, CSP’deki frame-ancestors ile ikinci kez güvence altına alınır). |
| X-Content-Type-Options: nosniff | Tarayıcının içerik türlerini tahmin etmesini ve dosyaları betik olarak çalıştırmasını engeller. |
| Referrer-Policy: strict-origin-when-cross-origin | Dış sitelere en fazla kaynağı iletir, asla tam URL’leri değil. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Sitenin ihtiyaç duymadığı 12 cihaz ve sensör API’sini devre dışı bırakır (kamera, mikrofon, konum, USB ve daha fazlası); yalnızca tam ekran modu kendi kaynağı için izinli kalır. |
| Cross-Origin-Opener-Policy: same-origin | Tarayıcı penceresini onu açmış dış sitelerden yalıtır. |
Content-Security-Policy’nin tamamı
CSP, sıfır yükleme garantisinin arkasındaki teknik kilittir. Tek bir kaynak dosyadan üretilir ve burada tam olarak o kaynaktan canlı olarak görüntülenir - tüm 15 direktif, kısaltılmadan:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (09.07.2026 tarihinde kontrol edildi): Yüksek önem düzeyinde 0 bulgu. connect-src, kendi kaynağı dışında yalnızca sayfa katmanının belgelenmiş analitik izin listesine izin verir - meta veriler, asla dosya içeriği değil.
Bağımsız doğrulama
Kamuya açık lansmanda canlı alan adına karşı çalıştırılacak üç dış inceleme kesin olarak planlanmıştır: SSL Labs (TLS yapılandırması), Mozilla Observatory (HTTP güvenlik duruşu) ve securityheaders.com (başlık eksiksizliği). Sonuçlar yalnızca taramalar gerçekten çalıştırıldıktan sonra gösterilir ve bağlantılanır - gottrix hiçbir zaman doğrulanmamış mühür veya not göstermez ve her build’deki otomatik bir test tam olarak bunu zorunlu kılar.
Barındırma ve veri konumu
Kaynak sunucular Almanya’da Hetzner Online GmbH tarafından işletilir ve GDPR’ye tabidir. Üzerlerinde yalnızca statik web sitesi bulunur: kullanıcı hesabı yok, dosya içeriği yok, içerik veritabanı yok. Sunucu günlükleri yalnızca kısa saklama süreli, teknik olarak gerekli erişim verilerini içerir; Hetzner ile bir veri işleme sözleşmesi mevcuttur. Dosya işleme tarayıcınızda yerel olarak gerçekleştiğinden, dosya içerikleriniz bu konuma zaten hiçbir zaman ulaşmaz.
İstatistik ve onay
Anonim kullanım istatistiği (Consent Mode v2 Advanced ile Google Analytics 4), tüm sinyaller reddedildi olarak ayarlanmış şekilde başlar: onayınız olmadan hiçbir istatistik çerezi ayarlanmaz ve hiçbir kimlik oluşturulmaz. Onay ile en fazla sayfa görüntülemeleri ve kullanılan aracın kimliği ölçülür - asla dosya adları, dosya boyutları veya dosya içerikleri değil. Tüm ayrıntılar ve hukuki dayanaklar gizlilik politikasında yer alır.
Güvenlik hakkında sık sorulan sorular
gottrix.app güvenli mi?
Güvenliği vaatlere değil mimariye dayanır: dosyalar yalnızca tarayıcınızda yerel olarak işlenir ve asla bir sunucuya iletilmez - katı bir Content-Security-Policy, dönüştürme koduna hiçbir dış bağlantı kurma izni vermez. Buna ek olarak HSTS ile TLS 1.2/1.3, eksiksiz bir güvenlik başlıkları kümesi ve Almanya’da barındırma vardır. Bu noktaların her biri kaynak kodda, ağ sekmesinde veya uçak modu testi ile kendiniz doğrulanabilir.
Dosyalarım herhangi bir yere yükleniyor veya saklanıyor mu?
Hayır. Dönüştürme tamamen tarayıcınızın belleğinde gerçekleşir; dosya içerikleri için hiçbir yükleme uç noktası ve hiçbir sunucu tarafı depolama yoktur. Content-Security-Policy, motor ve worker koduna dış sunucularla hiçbir bağlantı kurma izni vermez ve otomatik bir test bunu her build’de doğrular. Sekmeyi kapatın, veriler kaybolur - sunucu tarafında silinmesi gereken hiçbir şey yoktur.
gottrix.app hangi şifrelemeyi kullanıyor?
Web sitesi yalnızca modern şifreleme paketleriyle TLS 1.2 ve 1.3 kullanan HTTPS üzerinden sunulur; HSTS, alt alan adları dahil HTTPS’i iki yıl boyunca zorunlu kılar. Dosya içerikleriniz bu sırada hiçbir bağlantı üzerinden geçmez, çünkü cihazınızdan asla ayrılmaz - aktarım şifrelemesi, sitenin sunumunu ve onaya dayalı isteğe bağlı kullanım meta verilerini korur.
Sunucular nerede barındırılıyor?
Kaynak sunucular, GDPR kapsamında Almanya’da Hetzner Online GmbH tarafından işletilir. Üzerlerinde yalnızca statik web sitesi bulunur: kullanıcı hesabı yok, dosya içeriği yok, içerik veritabanı yok. İşleme tarayıcınızda yerel olarak gerçekleştiğinden, sunucu konumu dosya içerikleriniz için önemsizdir - hiçbir zaman ona ulaşmazlar.
Bu güvenlik iddialarını kendim nasıl doğrulayabilirim?
Özel uzmanlık gerektirmeyen üç yol: uçak modu testi (bir araç açın, bağlantıyı kesin, dönüştürün - çalışmaya devam eder), geliştirici araçlarının ağ sekmesi (F12: dönüştürme sırasında dosya isteği yok) ve her tarayıcının gösterebileceği yanıt başlıkları. Adım adım kılavuz kanıt sayfasında yer alır; kamuya açık lansmanda SSL Labs, Mozilla Observatory ve securityheaders.com’un dış taramaları eklenir.
gottrix genel olarak hangi verileri toplar?
Onayınız olmadan: hiçbir istatistik çerezi ve hiçbir kimlik, yalnızca kısa saklama süreli, teknik olarak gerekli sunucu günlükleri. Onay ile Google Analytics 4, sayfa görüntülemeleri ve kullanılan aracın kimliği gibi toplu kullanımı ölçer; dosya adları, dosya boyutları ve dosya içerikleri asla kaydedilmez. Tam hukuki dayanaklar ve onayın nasıl geri çekileceği gizlilik politikasında yer alır.