uk

Безпека gottrix

gottrix.app обробляє файли на 100% локально у вашому браузері: код перетворення не має доступу до жодного зовнішнього сервера (забезпечено Content-Security-Policy), тому завантаження технічно неможливе. Доставлення відбувається через TLS 1.2/1.3 з HSTS (2 роки), повним набором заголовків безпеки та хостингом у Hetzner у Німеччині. Кожне твердження на цій сторінці можна перевірити самостійно.

Архітектура нульового завантаження: безпека через усунення

Звичайні онлайн-конвертери завантажують ваш файл на сервер, обробляють його там і надсилають результат назад - кожен із цих кроків є поверхнею атаки. gottrix повністю усуває цей критичний крок: рушії (для зображень, PDF, аудіо, відео та інших форматів) виконуються як WebAssembly безпосередньо у вашому браузері. Те, що ніколи не передається, неможливо перехопити в дорозі, неможливо отримати витоком з жодного сервера і неможливо вимагати ні в кого.

Це забезпечується архітектурою, а не політикою, завдяки двом строго розділеним зонам: код, що торкається байтів вашого файлу (рушії та веб-воркери), обмежений власним джерелом через Content-Security-Policy і не містить жодних мережевих викликів - автоматичний тест перевіряє це під час кожної збірки. Рівень сторінки, який ніколи не бачить ваші файли, може звертатися лише до задокументованого списку дозволених доменів аналітики.

  • Рушії та воркери: 0 мережевих примітивів, жодних сторонніх доменів - перевіряється статично під час кожної збірки.
  • Рівень сторінки: зовнішні запити лише до задокументованого списку дозволених доменів аналітики, ніколи - байти файлів.
  • Немає резервного варіанту із завантаженням: якщо локальна обробка не вдається, ви отримуєте чесне повідомлення про помилку - ніколи не обхід через сервер.
  • Офлайн-доказ: після першого відвідування інструменти продовжують працювати в режимі польоту - найпотужніший доказ того, що нічого не надсилається.

Передавання: TLS і HSTS

Сайт доставляється виключно через HTTPS - TLS 1.2 і 1.3 із сучасними наборами шифрів і автоматично керованими сертифікатами. HTTP Strict Transport Security (HSTS) налаштовано з max-age=63072000 (2 роки), включно з піддоменами: браузер самостійно забезпечує HTTPS під час кожного майбутнього відвідування. Для розуміння: вміст ваших файлів ніколи не проходить через це зʼєднання, оскільки він ніколи не залишає ваш пристрій - транспортне шифрування захищає доставлення самого сайту.

HTTP-заголовки безпеки

Кожна відповідь сервера несе повний набір заголовків безпеки. Значення - це конфігурація, а не побажання: автоматичний тест перериває будь-який деплой, у якому один із них відсутній або відрізняється.

HTTP-заголовки безпеки
Заголовок і значенняЕфект
Strict-Transport-Security: max-age=63072000; includeSubDomainsЗабезпечує HTTPS протягом 2 років, включно з усіма піддоменами.
X-Frame-Options: DENYЗабороняє вбудовування сайту в зовнішні фрейми (захист від клікджекінгу, додатково забезпечений через frame-ancestors у CSP).
X-Content-Type-Options: nosniffНе дозволяє браузеру вгадувати типи вмісту та запускати файли як скрипти.
Referrer-Policy: strict-origin-when-cross-originПередає зовнішнім сайтам не більше ніж джерело, ніколи повний URL.
Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ...Вимикає 12 API пристроїв і датчиків (камера, мікрофон, геолокація, USB та інші), які сайту не потрібні; дозволено лише повноекранний режим для власного джерела.
Cross-Origin-Opener-Policy: same-originІзолює вікно браузера від зовнішніх сайтів, які його відкрили.

Повний текст Content-Security-Policy

CSP - це технічний замок за гарантією нульового завантаження. Вона формується з єдиного вихідного файлу і відображається тут у реальному часі саме з цього джерела - усі 15 директив, без скорочень:

  • default-src 'self'
  • script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.com
  • style-src 'self' 'unsafe-inline'
  • img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • media-src 'self' blob:
  • font-src 'self'
  • connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.com
  • worker-src 'self' blob:
  • frame-src 'self' blob: https://challenges.cloudflare.com
  • child-src 'self' blob:
  • object-src 'none'
  • base-uri 'none'
  • form-action 'self'
  • frame-ancestors 'none'
  • upgrade-insecure-requests

Google CSP Evaluator (перевірено 09.07.2026): 0 зауважень високого рівня серйозності. Окрім власного джерела, connect-src дозволяє лише задокументований список дозволених доменів аналітики рівня сторінки - метадані, ніколи вміст файлів.

Незалежна перевірка

Заплановано три зовнішні перевірки, які буде виконано на діючому домені під час публічного запуску: SSL Labs (конфігурація TLS), Mozilla Observatory (стан безпеки HTTP) і securityheaders.com (повнота заголовків). Результати показуються та звʼязуються лише після того, як сканування дійсно виконано - gottrix принципово не показує неперевірені знаки чи оцінки, і це забезпечується автоматичним тестом під час кожної збірки.

Хостинг і розташування даних

Вихідні сервери обслуговуються Hetzner Online GmbH у Німеччині та підпорядковуються GDPR. На них розміщено лише статичний сайт: жодних облікових записів користувачів, жодного вмісту файлів, жодної бази даних вмісту. Журнали сервера містять лише технічно необхідні дані доступу з коротким терміном зберігання; з Hetzner укладено договір про опрацювання даних. Оскільки обробка файлів відбувається локально у вашому браузері, вміст ваших файлів у будь-якому разі ніколи не досягає цього місця.

Статистика та згода

Анонімна статистика використання (Google Analytics 4 із Consent Mode v2 Advanced) починається з усіма сигналами, встановленими на «відхилено»: без вашої згоди жоден статистичний файл cookie не встановлюється і жоден ідентифікатор не створюється. За наявності згоди вимірюються щонайбільше перегляди сторінок та ідентифікатор використаного інструмента - ніколи назви файлів, розміри файлів чи вміст файлів. Усі подробиці та правові підстави наведено в політиці конфіденційності.

Перейти до політики конфіденційності

Поширені запитання про безпеку

Чи безпечний gottrix.app?

Його безпека ґрунтується на архітектурі, а не на обіцянках: файли обробляються виключно локально у вашому браузері й ніколи не передаються на сервер - сувора Content-Security-Policy забороняє коду перетворення будь-яке зовнішнє зʼєднання. До цього додаються TLS 1.2/1.3 з HSTS, повний набір заголовків безпеки та хостинг у Німеччині. Кожен із цих пунктів можна перевірити самостійно у вихідному коді, на вкладці мережі або за допомогою тесту режиму польоту.

Чи завантажуються або зберігаються мої файли десь?

Ні. Перетворення повністю виконується в памʼяті вашого браузера; не існує жодної кінцевої точки завантаження і жодного серверного зберігання вмісту файлів. Content-Security-Policy забороняє коду рушіїв і воркерів будь-яке зʼєднання із зовнішніми серверами, і автоматичний тест перевіряє це під час кожної збірки. Закрийте вкладку - і дані зникнуть: на сервері нічого видаляти.

Яке шифрування використовує gottrix.app?

Сайт доставляється виключно через HTTPS із TLS 1.2 і 1.3 та сучасними наборами шифрів; HSTS забезпечує HTTPS протягом двох років, включно з піддоменами. Вміст ваших файлів при цьому ніколи не проходить через жодне зʼєднання, оскільки він ніколи не залишає ваш пристрій - транспортне шифрування захищає доставлення сайту та необовʼязкові метадані використання на основі згоди.

Де розміщені сервери?

Вихідні сервери обслуговуються Hetzner Online GmbH у Німеччині, відповідно до GDPR. На них розміщено лише статичний сайт: жодних облікових записів користувачів, жодного вмісту файлів, жодної бази даних вмісту. Оскільки обробка відбувається локально у вашому браузері, розташування сервера не має значення для вмісту ваших файлів - він ніколи його не досягає.

Як я можу самостійно перевірити ці твердження про безпеку?

Три способи, що не вимагають спеціальних знань: тест режиму польоту (відкрийте інструмент, розʼєднайтеся, перетворіть - усе продовжує працювати), вкладка мережі інструментів розробника (F12: жодного запиту файлу під час перетворення) і заголовки відповіді, які може показати будь-який браузер. Покрокова інструкція є на сторінці доказів; під час публічного запуску додадуться зовнішні сканування SSL Labs, Mozilla Observatory і securityheaders.com.

Які дані взагалі збирає gottrix?

Без вашої згоди: жодних статистичних файлів cookie і жодних ідентифікаторів, лише технічно необхідні журнали сервера з коротким терміном зберігання. За наявності згоди Google Analytics 4 вимірює агреговане використання, наприклад перегляди сторінок та ідентифікатор використаного інструмента; назви файлів, розміри файлів і вміст файлів ніколи не записуються. Повні правові підстави і спосіб відкликання згоди наведено в політиці конфіденційності.

Як це перевірити