Principi fonamental
Solo2 crea un túnel privat entre dues persones. Directe. Sense intermediaris.
El nostre servidor fa una sola cosa: presentar els dos extrems del túnel perquè es trobin. Per això necessita el mínim imprescindible — els identificadors dels dos parells — que manté en memòria RAM durant els mil·lisegons que dura la presentació. A l'instant en què els dos dispositius s'han trobat, aquestes dades s'esborren de la memòria. Mai, en cap moment, queden escrites en un disc.
Un cop connectats, el servidor desapareix. No participa en la conversa. No la veu. No l'emmagatzema. No sap quant dura, ni amb quina freqüència parleu, ni de què parleu.
No et demanem que ens creguis. Et demanem que ho comprovis:
Prova 1 — El servidor sobra.
Un cop establert el túnel directe, el nostre servidor ja no hi participa. Si caigués en aquell moment, la teva conversa continuaria sense interrupció. Mentre els vostres dispositius estiguin encesos i connectats a internet, el túnel és vostre. Nosaltres ja no hi som.
Prova 2 — Envia un fitxer de 10 gigabytes.
No només anirà ràpid — és que al nostre servidor li és exactament igual. Prova a estar 24 hores seguides enviant fitxers de 10 gigues o més, de forma contínua. El nostre servidor ni s'assabenta, perquè no intervé. Prova-ho amb qualsevol altre servei de missatgeria.
Prova 3 — Parla de telescopis.
Passa una tarda parlant amb algú sobre telescopis, o canyes de pescar, o qualsevol cosa que mai hagis buscat a internet. Espera uns dies. No apareixerà publicitat de telescopis enlloc. Les teves paraules no van sortir del teu túnel.
Les teves dades, la teva responsabilitat.
Aquesta és la nostra gran virtut i, sent honestos, el que més et costarà acostumar-t'hi. Els teus missatges, fitxers i contactes viuen en una volta xifrada dins del teu dispositiu. No hi ha còpia en cap servidor. Estan protegits amb 24 paraules — el mateix nivell de seguretat que Bitcoin. Però estan en un sol lloc, tret que instal·lis Solo2 en un segon dispositiu — les dues voltes es sincronitzaran automàticament quan estiguin connectades alhora. També pots exportar una còpia de seguretat xifrada — o una còpia llegible en formats estàndard per endur-te les teves dades on vulguis. Aquí no hi ha cap núvol que et salvi si perds el teu únic dispositiu. Les teves dades són teves, amb totes les conseqüències.
En detall
El servidor de Solo2 és completament cec. No sap amb qui parles, què dius, ni quins fitxers comparteixes. Ni tan sols els senyals tècnics que estableixen la connexió entre dispositius són llegibles pel servidor — viatgen xifrats d'extrem a extrem.
Els teus missatges viatgen directament entre dispositius, xifrats d'extrem a extrem. El teu historial viu xifrat al teu navegador, mai al nostre servidor.
Les claus de xifrat roten automàticament amb cada missatge. Cada missatge es xifra amb una clau única que es descarta immediatament després. Això es coneix tècnicament com a Double Ratchet, i significa que fins i tot si algú obtingués una clau, només podria llegir un únic missatge — no la conversa. A més, la seguretat es restaura automàticament després de cada torn de comunicació: una clau compromesa es torna inútil en el moment que s'intercanvia el següent missatge.
Quan la connexió directa entre dispositius no és possible (per exemple, per restriccions de xarxa), s'utilitza un servidor mirall (tècnicament anomenat TURN): les dades es reflecteixen d'un dispositiu a l'altre, però el mirall no és conscient del que reflecteix — tot viatja xifrat d'extrem a extrem i el servidor no pot llegir-ho. A més, tots els paquets s'omplen a una mida uniforme per impedir que un observador pugui deduir informació analitzant la mida o la freqüència del trànsit.
Sempre pots veure a l'aplicació quin tipus de connexió estàs utilitzant — directa o a través del servidor mirall — i actuar en conseqüència.
La teva clau mestra es genera aleatòriament amb 256 bits d'entropia real — el mateix nivell que Bitcoin. En crear el teu compte, Solo2 genera una clau única que es representa com 24 paraules. La teva contrasenya protegeix l'accés al servei. Les teves 24 paraules són la clau de les teves dades. Són dues claus diferents per a dues portes diferents.
Encara que el nostre servidor desaparegui, les teves dades sobreviuen. Amb les teves 24 paraules pots accedir a la teva volta local sense connexió al servidor. Les teves dades són teves — de debò.
1. Dades que SÍ tenim al servidor
1.1 El teu compte d'usuari
Aquests són tots els camps que existeixen al teu registre. No n'hi ha cap més.
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| Nom d'usuari | Perquè puguis iniciar sessió | Text pla (és públic per disseny) | Fins que esborris el teu compte |
| Contrasenya | Autenticació | Protegida amb Argon2id (recomanat per OWASP, resistent a atacs amb maquinari especialitzat). Mai emmagatzemem la teva contrasenya real | Fins que esborris el teu compte |
| Clau mestra embolicada | Perquè puguis obrir la teva volta iniciant sessió amb la teva contrasenya, sense teclejar les 24 paraules cada vegada. Si perds les teves paraules, aquest embolcall és la teva recuperació | Blob opac (80 bytes) xifrat amb una clau derivada de la teva contrasenya — el servidor no el pot obrir | Fins que esborris el teu compte |
| Empremta de recuperació | Per verificar que les teves 24 paraules són les correctes quan recuperes l'accés al teu compte — sense que el servidor les vegi mai | Empremta irreversible (SHA-256, 64 caràcters). No revela res de les teves paraules ni de la teva clau | Fins que esborris el teu compte |
| Nom públic | Perquè els teus contactes et reconeguin | Text pla (el tries tu) | Fins que el canviïs o esborris el teu compte |
| Codi de vinculació | La teva adreça dins de Solo2 — com un número de telèfon. És el que comparteixes amb algú perquè et trobi i t'enviï una sol·licitud de connexió | Text pla, únic (~10 caràcters) | Fins que esborris el teu compte |
| Saldo econòmic | Diners que has afegit al teu compte | Número (en cèntims) | Fins que esborris el teu compte |
| Saldo de bonificació | Bonificacions rebudes (promocions). Es consumeixen abans del saldo econòmic | Número (en cèntims) | Fins que esborris el teu compte |
| Tipus de compte | El teu pla: estàndard, fundador o platí (admin existeix només per als comptes d'administració) | 1 byte (nombre enter) | Fins que canviï o esborris el teu compte |
| Estat del compte | La situació del teu compte: actiu, en període de prova, pausat per tu, o en període de gràcia. Si pauses el teu compte, aquest camp és el que ho recorda | 1 byte (nombre enter) | Fins que canviï o esborris el teu compte |
| Marca de tall de servei | Guarda quan es va tallar el servei: la posa un administrador en suspendre un compte, o el sistema quan el teu saldo arriba a zero (és l'inici del període de gràcia). En un compte al dia val 0 | Marca de temps numèrica (0 = sense tall) | Fins que el compte es reactiva — recàrrega o aixecament — o s'esborra |
| Data i hora de registre | Quan vas crear el teu compte | Data i hora completa (timestamp) | Permanent |
| Identificadors interns | El sistema necessita dos codis interns per referir-se a tu sense usar el teu nom d'usuari. Un és el teu ID principal i l'altre un codi de referència. Tots dos són opacs — no signifiquen res fora del sistema | Dos codis aleatoris de 24 caràcters cadascun (ex: u_7kX9mP2...). No contenen el teu nom, data ni cap dada personal — són purament aleatoris | Fins que esborris el teu compte |
| Versió de seguretat | Quina versió de l'algorisme de protecció de contrasenya es va utilitzar | Número intern | Fins que esborris el teu compte |
| Indicadors d'estat | Flags tècnics (si el teu saldo ha canviat, si tens el mode seguretat màxima actiu) | 1 byte — l'equivalent a una sola lletra. No hi cap res més | Fins que esborris el teu compte |
Perquè et facis una idea del volum: el teu registre complet ocupa uns 400 bytes — menys que aquest paràgraf. Són els teus noms (inventats si vols), una empremta de la teva contrasenya (mida fixa, 128 caràcters), la teva clau mestra xifrada (un blob opac de 80 bytes que no podem llegir), una empremta de recuperació (64 caràcters que no revelen res), dos números per al teu saldo, unes dates i quatre bytes de configuració. Això és tot el que existeixes al nostre servidor.
1.2 Sessions actives
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| Hash del token de sessió | Mantenir el teu login actiu | Empremta irreversible (SHA-256). El token original mai s'emmagatzema al servidor | 24 hores — després s'elimina completament |
| Data de creació | Perquè el sistema sàpiga quan va ser creada — útil per a la neteja automàtica | Marca de temps numèrica (segons unix) | S'elimina amb la sessió |
| Data de caducitat | La sessió caduca a les 24 hores de crear-se. No es renova amb l'ús — té data fixa de caducitat | Marca de temps numèrica (creació + 24 hores) | 24 hores — després s'elimina completament |
En tancar sessió o en expirar, la fila s'elimina completament de la base de dades. No queda rastre que la sessió hagi existit.
1.3 Sol·licituds de vinculació
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| ID del sol·licitant | Saber qui va enviar la sol·licitud | Codi intern de 24 caràcters aleatoris | 3 dies — després s'elimina automàticament |
| ID del destinatari | Saber a qui va dirigida | Codi intern de 24 caràcters aleatoris | 3 dies — després s'elimina automàticament |
| Estat | Pendent / acceptada / rebutjada | 1 byte (nombre enter: 0=pendent, 1=acceptada, 2=rebutjada) | S'elimina en resoldre's o en caducar (3 dies) |
| Data de creació | Saber quan es va crear la sol·licitud per poder auto-eliminar-la | Marca de temps numèrica (segons unix) — 4 a 8 bytes | 3 dies — després s'elimina automàticament |
Nota important: Mentre la sol·licitud està pendent (màxim 3 dies), el servidor sí sap que l'usuari A va demanar connectar amb l'usuari B. Transcorreguts 3 dies, la sol·licitud s'elimina automàticament. Un cop acceptada la vinculació, el servidor no guarda la relació. La teva llista de contactes existeix només al teu navegador, xifrada.
1.4 Codi de vinculació
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| Codi de vinculació (alias) | Identificador curt perquè un altre usuari et trobi i sol·liciti crear un túnel | Codi aleatori de 8 caràcters derivat del teu ID intern | Permanent (és el teu identificador públic de connexió) |
1.5 Subscripcions push (notificacions)
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| Adreça de notificació | Enviar notificacions al teu navegador | URL del proveïdor del navegador (Google, Mozilla o Apple) | Fins que desactivis les notificacions o esborris el teu compte |
| Claus de xifrat push | Xifrar la notificació perquè només el teu navegador la llegeixi | Estàndard Web Push | Igual que l'adreça |
1.6 Feedback (suport)
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| El teu missatge | Perquè puguem ajudar-te | Text pla | Fins que el processem |
| El teu ID d'usuari | Per saber qui necessita ajuda | ID intern | Igual que el missatge |
1.7 Senyalització de connexió (efímera)
Perquè dos dispositius es puguin connectar directament, necessiten intercanviar uns senyals tècnics d'establiment de connexió (protocol WebRTC). L'únic moment en què el nostre servidor manté en memòria el teu codi d'usuari i el del teu contacte és durant els mil·lisegons en què processa aquesta sol·licitud de connexió. Dura un instant, està només en memòria RAM i mai s'escriu en disc. Els senyals en si estan xifrats d'extrem a extrem
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| Senyals de connexió | Establir la connexió directa entre dispositius | Xifrats d'extrem a extrem amb la clau pública del destinatari. El servidor no pot llegir-los ni modificar-los | 60 segons |
1.8 Servidor mirall (relé TURN)
Si la connexió directa no és possible, s'utilitza un servidor mirall: les dades hi passen com la llum a través d'un mirall — es reflecteixen d'un costat a l'altre, però el mirall no és conscient del que reflecteix. Tots els paquets s'omplen a una mida uniforme perquè un observador no pugui distingir un missatge d'un simple batec de connexió.
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| Credencial d'accés | Autenticar-te al servidor mirall | La teva identitat es transforma en una empremta irreversible — el servidor mirall no sap qui ets | 24 hores |
1.9 Pagaments processats
Els pagaments són l'únic punt on existeix una fricció real amb l'anonimat. Siguem honestos sobre això.
Quan et registres a Solo2, tries un nom d'usuari (pot ser inventat), una contrasenya i un nom públic (també inventat si vols). Cap dada et vincula a una persona real. Però si fas un pagament amb targeta, la teva entitat financera sí que sap qui ets.
El que nosaltres rebem de la passarel·la de pagament és únicament una confirmació i un import. No rebem ni emmagatzemem el nom del titular, ni el número de targeta, ni el DNI, ni cap dada personal del pagador. Són imports petits — legalment equivalents a un tiquet de comptat, com comprar un pirulí en un quiosc: el quiosquer no registra el DNI de qui paga.
A més, el registre de pagament està deliberadament desvinculat del teu compte d'usuari. No hi ha cap camp a la nostra base de dades que creui un tiquet de cobrament amb un compte concret.
| Dada | Per què | Protecció | Durada |
|---|---|---|---|
| Registre de pagament | Comptabilitat i obligacions fiscals | Confirmació + import. Sense dades personals del pagador. Sense vinculació a cap compte d'usuari | Permanent (obligació legal) |
Sobre el pitjor escenari possible: Fins i tot amb una ordre judicial, la cadena de rastreig seria: la teva targeta → el teu banc → la passarel·la de pagament → el nostre tiquet de cobrament. Però el nostre tiquet no conté cap identificador d'usuari. No és una negligència: és una decisió de disseny. No hi ha cap camp ni índex a la nostra base de dades que relacioni un pagament amb un compte. L'única via teòrica seria una correlació temporal — si fossis l'únic pagament en un període donat — però fins i tot en aquest cas extrem, el compte no conté informació que identifiqui la persona real: el nom d'usuari i el nom públic poden ser totalment inventats.
Tots els nostres ingressos són legals i entren comptabilitzats a través de la passarel·la de pagament. Liquidem els impostos corresponents. Però l'anonimat del client és total des del nostre costat.
2. Dades que NO tenim al servidor
Això és el que ens defineix. El servidor de Solo2 no emmagatzema ni té accés a:
- Els teus missatges — Viatgen directament entre dispositius, xifrats de punta a punta. El servidor mai els veu.
- Els teus fitxers — Igual que els missatges: directes i xifrats.
- La teva llista de contactes — Existeix només al teu navegador, xifrada a La Bóveda.
- El teu historial de xat — Només al teu navegador, xifrat.
- La teva ubicació — Els GeoSegells es calculen al teu dispositiu i s'envien directament al destinatari. El servidor mai els processa.
- Analítiques d'ús — L'aplicació Solo2 no té cap sistema d'analítiques, ni galetes de seguiment, ni scripts de tercers.
- Dades del dispositiu — No recollim model, resolució, sistema operatiu, ni cap característica del teu dispositiu.
- Metadades de comunicació — No sabem amb qui parles, quan, amb quina freqüència, ni durant quant de temps.
Sobre la teva adreça IP
La teva adreça IP no s'emmagatzema en cap base de dades. Als registres tècnics del servidor, les adreces IP es transformen en empremtes irreversibles (hash) — útils per detectar patrons d'abús, però impossibles de revertir a la IP original. Aquests registres s'eliminen automàticament cada 7 dies. Els senyals de connexió, que podrien contenir la teva IP, estan xifrats d'extrem a extrem — el servidor no pot llegir-los.
3. Dades al teu navegador (La Cripta)
Tot el següent viu exclusivament al teu navegador, xifrat amb AES-256-GCM (un estàndard de xifrat de grau militar utilitzat per governs i entitats financeres). La clau es genera a partir de la teva contrasenya mitjançant Argon2id (l'algorisme més resistent disponible contra atacs amb maquinari especialitzat), i aquest procés ocorre íntegrament dins del teu navegador. La teva contrasenya mai s'envia al servidor.
Les teves dades estan xifrades en repòs — fins i tot si algú accedís a l'emmagatzematge del teu navegador, només trobaria blocs xifrats il·legibles sense la teva contrasenya.
Quan exportes una còpia de seguretat, es xifra amb la mateixa protecció (Argon2id + AES-256-GCM). Només qui conegui la teva contrasenya pot desxifrar-la. L'única excepció és deliberada: la còpia llegible — un ZIP estàndard pensat perquè puguis llegir les teves dades sense l'aplicació — es crea sense xifrar; l'app t'ho adverteix i et demana la teva contrasenya abans de generar-la.
| Dada | Xifrat | Control |
|---|---|---|
| Missatges | AES-256-GCM | Tu decideixes quan els esborres |
| Arxius | AES-256-GCM | Tu decideixes quan els esborres |
| Contactes (parells) | AES-256-GCM | Tu decideixes a qui vincules |
| Estat de verificació | AES-256-GCM | Tu verifiques la identitat de cada contacte |
| Índex de cerca | Xifrat amb tokens irreversibles (HMAC) | Es reconstrueix des dels teus missatges |
| Estat de lliurament | AES-256-GCM | Quins missatges es van lliurar |
| Missatges pendents | AES-256-GCM | Cua d'enviament quan no hi ha connexió |
Emmagatzematge temporal del navegador
| Dada | Tipus | Durada | Per què |
|---|---|---|---|
| Sessió d'usuari | Memòria local del navegador (localStorage) | Fins que tanquis sessió | Mantenir el teu login |
| Versió de l'app | Memòria local del navegador (localStorage) | Permanent | Detectar actualitzacions |
| Preferència de tema | Memòria local del navegador (localStorage) | Permanent | Recordar el teu tema visual |
| Preferència d'idioma | Memòria local del navegador (localStorage) | Permanent | Recordar el teu idioma |
| Contrasenya (mode seguretat màxima) | Memòria de pestanya (sessionStorage) | Desapareix en tancar la pestanya | Reinicialitzar el xifrat si recarregues la pàgina |
Nota sobre la seguretat al navegador
Solo2 funciona dins del teu navegador web. Les teves dades xifrades estan protegides en repòs, però quan l'aplicació està oberta i et mostra els teus missatges desxifrats a la pantalla, la seguretat depèn també del teu entorn:
- Extensions del navegador: Una extensió maliciosa amb accés a les pàgines que visites podria, en teoria, llegir el que es mostra a la pantalla. Recomanem utilitzar el menor nombre possible d'extensions i només de fonts de confiança.
- Navegador net: Un navegador actualitzat i sense extensions innecessàries és el teu millor aliat.
- Aplicació nativa: En el futur, oferirem una aplicació d'escriptori (Windows, Mac, Linux) que proporcionarà un nivell addicional d'aïllament en no dependre de l'entorn del navegador.
4. Connexions de xarxa
L'aplicació Solo2
| Domini | Motiu | Dada enviada |
|---|---|---|
| solo2.net | API de l'aplicació | Autenticació, senyalització, presència |
| pay.menzuri.com | Passarel·la de pagament | Només si fas un pagament |
Cap altre domini. Cap script extern. Cap CDN de seguiment. La política de seguretat de contingut (CSP) del servidor ho imposa tècnicament: qualsevol intent de carregar recursos d'altres dominis és bloquejat pel navegador .
Fins i tot per descobrir l'adreça IP pública del teu dispositiu (necessari per establir connexions directes entre usuaris), fem servir el nostre propi servidor (tècnicament anomenat STUN). No deleguem en serveis externs. Ho gestionem nosaltres.
La pàgina de presentació
La pàgina de presentació (solo2.net) — que és independent de l'aplicació — utilitza un sistema de mesura anònim allotjat als nostres propis servidors a Alemanya:
| Domini | Motiu | Dada enviada |
|---|---|---|
| stats.menzuri.com | Mesura anònima de visites | Pàgina visitada (sense galetes, sense IP, sense identificació) |
Aquest sistema no instal·la galetes, no registra la teva adreça IP, no t'identifica, no et segueix entre visites i no comparteix dades amb tercers. L'aplicació Solo2 no té aquest sistema ni cap altre tipus d'analítica.
5. Esborrar les teves dades
Existeixen dues accions diferents, i és important que coneguis la diferència:
Esborrar dades locals
Des dels ajustos de l'aplicació tens dues opcions d'esborrat local:
- Esborra les meves dades — Elimina només les teves dades (identitat, volta, sessió) sense afectar altres usuaris que facin servir el mateix navegador.
- Reset d'emergència — Esborra absolutament tot: dades de tots els usuaris, Service Worker, memòria cau i claus criptogràfiques. Requereix doble confirmació.
En tots dos casos, el teu compte al servidor continua existint. Podeu tornar a iniciar sessió, però les vostres dades locals s'hauran perdut irreversiblement. En fer-ho, es genera una identitat criptogràfica completament nova: qui tingués la teva clau pública anterior ja no pot xifrar res per a tu. Si un contacte anterior es vol reconnectar, t'haurà de sol·licitar vinculació de nou, i tu decideixes si l'acceptes o no.
Recuperació automàtica entre dispositius
Si perds les teves dades en un dispositiu i en tens un altre de connectat, Solo2 detecta la situació i t'ofereix restaurar la teva identitat i cripta automàticament. La restauració viatja xifrada (Argon2id) per connexió directa entre els teus dispositius — sense passar pel servidor.
Eliminar el teu compte del servidor
- S'eliminen totes les files a la base de dades associades al teu ID: compte, sessions, sol·licituds, invitacions, subscripcions push, feedback.
- L'eliminació és atòmica (tot o res): o s'esborra tot o no s'esborra res.
- Els registres de pagaments queden deliberadament desvinculats de la teva identitat — hi ha per obligació legal, però no es pot traçar un pagament a la teva persona.
- Els identificadors als registres del servidor són empremtes irreversibles: no es pot vincular un registre al teu compte un cop eliminat.
- La Cripta al teu navegador no s'elimina automàticament amb aquesta acció (no tenim accés al teu navegador). Per esborrar-la, executa primer l'esborrat nuclear o neteja les dades del lloc al teu navegador.
5b. La teva clau mestra i les teves 24 paraules
En crear el teu compte a Solo2, es genera una clau mestra amb 256 bits d'entropia real (la mateixa que usa Bitcoin). Aquesta clau es representa com 24 paraules que només tu coneixes. La teva contrasenya embolica aquesta clau per guardar-la xifrada al servidor — el servidor no la pot llegir.
Això significa que tens dues claus independents
Algorismes exactes (verificable)
Generació: CSPRNG del sistema operatiu (crypto.getRandomValues, 256 bits). Xifratge de la clau mestra: Argon2id (OWASP) per derivar la clau d'embolcall + AES-256-GCM (xifrat autenticat) per protegir-la. Identitat: Ed25519 (signatura) + X25519 (intercanvi). Missatges: Double Ratchet amb ChaCha20-Poly1305 . Quan tanqueu la pestanya del navegador, totes les dades sensibles desapareixen de la memòria.
Com es protegeix la teva clau mestra
| Capa | Què és | On viu |
|---|---|---|
| Contrasenya | Accés al servidor. Embolica la teva clau mestra | A la teva memòria + hash al servidor |
| Secret del dispositiu | Segon factor invisible, generat automàticament en instal·lar | Al teu dispositiu (no extreïble) |
| Clau mestra (24 paraules) | 256 bits d'entropia real, generada aleatòriament. Nivell Bitcoin (BIP39) | En un paper que tu guardes + embolicada al servidor |
| Rotació de claus | Cada missatge utilitza una clau única que es destrueix després (Double Ratchet) | Automàtic, transparent |
Si canvies la teva contrasenya
Canviar la teva contrasenya és instantani. Només es re-embolica la teva clau mestra amb la nova contrasenya — la teva identitat no canvia, la teva volta no es re-xifra, els teus contactes no es veuen afectats, i les teves 24 paraules segueixen sent les mateixes. És una operació de mil·lisegons.
Recuperació
Si perds la teva contrasenya, pots accedir a la teva volta amb les teves 24 paraules — sense necessitar servidor. Si perds les teves 24 paraules, pots fer login amb la teva contrasenya i el servidor et retorna la teva clau embolicada. Si les perds totes dues, les teves dades són irrecuperables. Com a Bitcoin, això és seguretat per disseny.
6. Què passa si algú accedeix al servidor sense autorització
Si un atacant obtingués accés complet al servidor de Solo2, obtindria:
- Noms d'usuari i noms públics
- Codis de vinculació
- Claus públiques (inútils sense la clau privada, que és al teu navegador)
- Empremtes de contrasenyes (inútils sense un atac de força bruta extremadament costós gràcies a Argon2id)
- Empremtes de tokens de sessió (inútils sense el token original)
- Sol·licituds de vinculació pendents (IDs interns, caduquen en 3 dies)
- Tipus de compte, saldos i dates de registre
- Registres de pagaments (sense poder vincular-los a un usuari concret)
El que NO obtindria:
- Cap missatge (mai van ser al servidor)
- Cap arxiu (mai van ser al servidor)
- Cap llista de contactes (mai va ser al servidor)
- Cap historial de xat (mai va ser al servidor)
- Cap clau privada de xifrat (viuen al teu navegador)
- Cap adreça IP (no es registren)
7. El nostre compromís
Aquest manifest s'actualitzarà amb cada canvi rellevant en la gestió de dades. Si afegim un camp nou a la base de dades, apareixerà aquí. Si eliminem alguna cosa, també.
La versió vigent sempre és aquesta pàgina.