Безпека gottrix
gottrix.app обробляє файли на 100% локально у вашому браузері: код перетворення не має доступу до жодного зовнішнього сервера (забезпечено Content-Security-Policy), тому завантаження технічно неможливе. Доставлення відбувається через TLS 1.2/1.3 з HSTS (2 роки), повним набором заголовків безпеки та хостингом у Hetzner у Німеччині. Кожне твердження на цій сторінці можна перевірити самостійно.
Архітектура нульового завантаження: безпека через усунення
Звичайні онлайн-конвертери завантажують ваш файл на сервер, обробляють його там і надсилають результат назад - кожен із цих кроків є поверхнею атаки. gottrix повністю усуває цей критичний крок: рушії (для зображень, PDF, аудіо, відео та інших форматів) виконуються як WebAssembly безпосередньо у вашому браузері. Те, що ніколи не передається, неможливо перехопити в дорозі, неможливо отримати витоком з жодного сервера і неможливо вимагати ні в кого.
Це забезпечується архітектурою, а не політикою, завдяки двом строго розділеним зонам: код, що торкається байтів вашого файлу (рушії та веб-воркери), обмежений власним джерелом через Content-Security-Policy і не містить жодних мережевих викликів - автоматичний тест перевіряє це під час кожної збірки. Рівень сторінки, який ніколи не бачить ваші файли, може звертатися лише до задокументованого списку дозволених доменів аналітики.
- Рушії та воркери: 0 мережевих примітивів, жодних сторонніх доменів - перевіряється статично під час кожної збірки.
- Рівень сторінки: зовнішні запити лише до задокументованого списку дозволених доменів аналітики, ніколи - байти файлів.
- Немає резервного варіанту із завантаженням: якщо локальна обробка не вдається, ви отримуєте чесне повідомлення про помилку - ніколи не обхід через сервер.
- Офлайн-доказ: після першого відвідування інструменти продовжують працювати в режимі польоту - найпотужніший доказ того, що нічого не надсилається.
Передавання: TLS і HSTS
Сайт доставляється виключно через HTTPS - TLS 1.2 і 1.3 із сучасними наборами шифрів і автоматично керованими сертифікатами. HTTP Strict Transport Security (HSTS) налаштовано з max-age=63072000 (2 роки), включно з піддоменами: браузер самостійно забезпечує HTTPS під час кожного майбутнього відвідування. Для розуміння: вміст ваших файлів ніколи не проходить через це зʼєднання, оскільки він ніколи не залишає ваш пристрій - транспортне шифрування захищає доставлення самого сайту.
HTTP-заголовки безпеки
Кожна відповідь сервера несе повний набір заголовків безпеки. Значення - це конфігурація, а не побажання: автоматичний тест перериває будь-який деплой, у якому один із них відсутній або відрізняється.
| Заголовок і значення | Ефект |
|---|---|
| Strict-Transport-Security: max-age=63072000; includeSubDomains | Забезпечує HTTPS протягом 2 років, включно з усіма піддоменами. |
| X-Frame-Options: DENY | Забороняє вбудовування сайту в зовнішні фрейми (захист від клікджекінгу, додатково забезпечений через frame-ancestors у CSP). |
| X-Content-Type-Options: nosniff | Не дозволяє браузеру вгадувати типи вмісту та запускати файли як скрипти. |
| Referrer-Policy: strict-origin-when-cross-origin | Передає зовнішнім сайтам не більше ніж джерело, ніколи повний URL. |
| Permissions-Policy: camera=(), microphone=(), geolocation=(), usb=(), ... | Вимикає 12 API пристроїв і датчиків (камера, мікрофон, геолокація, USB та інші), які сайту не потрібні; дозволено лише повноекранний режим для власного джерела. |
| Cross-Origin-Opener-Policy: same-origin | Ізолює вікно браузера від зовнішніх сайтів, які його відкрили. |
Повний текст Content-Security-Policy
CSP - це технічний замок за гарантією нульового завантаження. Вона формується з єдиного вихідного файлу і відображається тут у реальному часі саме з цього джерела - усі 15 директив, без скорочень:
default-src 'self'script-src 'self' 'wasm-unsafe-eval' 'sha256-CV3S3HJKkjkhiOy3jcZlYxFFZn1MxVO6SmmGkiwHFBA=' https://www.googletagmanager.com https://challenges.cloudflare.comstyle-src 'self' 'unsafe-inline'img-src 'self' data: blob: https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.commedia-src 'self' blob:font-src 'self'connect-src 'self' https://www.google-analytics.com https://*.google-analytics.com https://www.googletagmanager.comworker-src 'self' blob:frame-src 'self' blob: https://challenges.cloudflare.comchild-src 'self' blob:object-src 'none'base-uri 'none'form-action 'self'frame-ancestors 'none'upgrade-insecure-requests
Google CSP Evaluator (перевірено 09.07.2026): 0 зауважень високого рівня серйозності. Окрім власного джерела, connect-src дозволяє лише задокументований список дозволених доменів аналітики рівня сторінки - метадані, ніколи вміст файлів.
Незалежна перевірка
Заплановано три зовнішні перевірки, які буде виконано на діючому домені під час публічного запуску: SSL Labs (конфігурація TLS), Mozilla Observatory (стан безпеки HTTP) і securityheaders.com (повнота заголовків). Результати показуються та звʼязуються лише після того, як сканування дійсно виконано - gottrix принципово не показує неперевірені знаки чи оцінки, і це забезпечується автоматичним тестом під час кожної збірки.
Хостинг і розташування даних
Вихідні сервери обслуговуються Hetzner Online GmbH у Німеччині та підпорядковуються GDPR. На них розміщено лише статичний сайт: жодних облікових записів користувачів, жодного вмісту файлів, жодної бази даних вмісту. Журнали сервера містять лише технічно необхідні дані доступу з коротким терміном зберігання; з Hetzner укладено договір про опрацювання даних. Оскільки обробка файлів відбувається локально у вашому браузері, вміст ваших файлів у будь-якому разі ніколи не досягає цього місця.
Статистика та згода
Анонімна статистика використання (Google Analytics 4 із Consent Mode v2 Advanced) починається з усіма сигналами, встановленими на «відхилено»: без вашої згоди жоден статистичний файл cookie не встановлюється і жоден ідентифікатор не створюється. За наявності згоди вимірюються щонайбільше перегляди сторінок та ідентифікатор використаного інструмента - ніколи назви файлів, розміри файлів чи вміст файлів. Усі подробиці та правові підстави наведено в політиці конфіденційності.
Поширені запитання про безпеку
Чи безпечний gottrix.app?
Його безпека ґрунтується на архітектурі, а не на обіцянках: файли обробляються виключно локально у вашому браузері й ніколи не передаються на сервер - сувора Content-Security-Policy забороняє коду перетворення будь-яке зовнішнє зʼєднання. До цього додаються TLS 1.2/1.3 з HSTS, повний набір заголовків безпеки та хостинг у Німеччині. Кожен із цих пунктів можна перевірити самостійно у вихідному коді, на вкладці мережі або за допомогою тесту режиму польоту.
Чи завантажуються або зберігаються мої файли десь?
Ні. Перетворення повністю виконується в памʼяті вашого браузера; не існує жодної кінцевої точки завантаження і жодного серверного зберігання вмісту файлів. Content-Security-Policy забороняє коду рушіїв і воркерів будь-яке зʼєднання із зовнішніми серверами, і автоматичний тест перевіряє це під час кожної збірки. Закрийте вкладку - і дані зникнуть: на сервері нічого видаляти.
Яке шифрування використовує gottrix.app?
Сайт доставляється виключно через HTTPS із TLS 1.2 і 1.3 та сучасними наборами шифрів; HSTS забезпечує HTTPS протягом двох років, включно з піддоменами. Вміст ваших файлів при цьому ніколи не проходить через жодне зʼєднання, оскільки він ніколи не залишає ваш пристрій - транспортне шифрування захищає доставлення сайту та необовʼязкові метадані використання на основі згоди.
Де розміщені сервери?
Вихідні сервери обслуговуються Hetzner Online GmbH у Німеччині, відповідно до GDPR. На них розміщено лише статичний сайт: жодних облікових записів користувачів, жодного вмісту файлів, жодної бази даних вмісту. Оскільки обробка відбувається локально у вашому браузері, розташування сервера не має значення для вмісту ваших файлів - він ніколи його не досягає.
Як я можу самостійно перевірити ці твердження про безпеку?
Три способи, що не вимагають спеціальних знань: тест режиму польоту (відкрийте інструмент, розʼєднайтеся, перетворіть - усе продовжує працювати), вкладка мережі інструментів розробника (F12: жодного запиту файлу під час перетворення) і заголовки відповіді, які може показати будь-який браузер. Покрокова інструкція є на сторінці доказів; під час публічного запуску додадуться зовнішні сканування SSL Labs, Mozilla Observatory і securityheaders.com.
Які дані взагалі збирає gottrix?
Без вашої згоди: жодних статистичних файлів cookie і жодних ідентифікаторів, лише технічно необхідні журнали сервера з коротким терміном зберігання. За наявності згоди Google Analytics 4 вимірює агреговане використання, наприклад перегляди сторінок та ідентифікатор використаного інструмента; назви файлів, розміри файлів і вміст файлів ніколи не записуються. Повні правові підстави і спосіб відкликання згоди наведено в політиці конфіденційності.