Comprova-ho en 2 minuts
Prem F12 al teu navegador. Sense instal·lar res. Sense saber programar.
| Afirmació | Com verificar-ho | Pestanya |
|---|---|---|
| No hi ha galetes de cap tipus | Application → Cookies → buit. Solo2 no instal·la cap galeta. La teva sessió es manté en localStorage, no en galetes. Sense _ga |
Application |
| No hi ha serveis de tercers a l'app | Network → filtrar per domini → només peticions a solo2.net. No hi ha Google, Facebook, Cloudflare ni cap altre. |
Network |
| Analytics només al landing, no a l'app | Network → a /* veuràs peticions a stats.menzuri.com. A l'app (/app/*), cap. |
Network |
| El teu historial viu al teu navegador | Application → IndexedDB → solo2-vault-{userId}. Les teves dades xifrades són aquí, no al servidor. |
Application |
| Llista de contactes només local | Application → IndexedDB → store pares. Només existeix al teu navegador. |
Application |
| Sense CDNs externs | Network → tots els JS/CSS es carreguen des del mateix domini. No hi ha cdn.jsdelivr.net, unpkg.com ni similars. |
Network |
| Sessions de 24h màxim | Application → localStorage → solo2_session. El token té una caducitat verificable. |
Application |
| Pots veure quin tipus de connexió fas servir | A la UI del xat: indicador P2P (verd) vs Mirror/TURN (taronja) visible en tot moment | UI |
| Umami és cookieless | Application → Cookies → no apareix cap cookie de stats.menzuri.com. Umami no utilitza cookies. |
Application |
| La teva clau mestra es genera aleatòriament | Application → en registrar-te, Solo2 genera 24 paraules úniques. No es deriven de la teva contrasenya — són una clau independent amb 256 bits d'entropia real | Application |
Si saps fer servir DevTools
Verificacions que requereixen coneixement tècnic. Si entens HTTP, WebRTC i criptografia bàsica, pots confirmar aquestes afirmacions.
| Afirmació | Com verificar-ho |
|---|---|
| Missatges xifrats E2E | Network → les peticions a /cmd porten payloads xifrats (base64/binari). No hi ha JSON llegible amb text pla. |
| Senyals WebRTC xifrats E2E | Network → els missatges de senyal viatgen com a blobs binaris xifrats. No són JSON llegible amb offer/answer en pla. |
| Clau mestra independent de contrasenya | Network → el login rep un wrapped_master_key |
| Padding uniforme en mirror | Network → els paquets WebSocket/DataChannel tenen mida fixa quan s'usa relay. Inspecciona les mides a la pestanya Network |
| Contrasenya protegida (no viatja en pla) | Network → el login envia un hash, no text pla. No pots verificar quin algorisme usa el servidor (Argon2id), però sí que la teva contrasenya original mai s'envia. |
| Les sol·licituds de vinculació caduquen en 3 dies | Crea una sol·licitud, no la responguis, verifica al cap de 3 dies que ha desaparegut. Requereix paciència, però és verificable. |
| Push notifications xifrades | Network → les peticions push al Service Worker arriben xifrades (estàndard Web Push). Es veu el payload xifrat a la pestanya Network |
| Connexió P2P directa vs relay | chrome://webrtc-internals/ → verifica candidats ICE. Si veus typ srflx o typ relay, saps si és directe o retransmès. |
Això no ho pots verificar
Seríem hipòcrites si diguéssim que tot és verificable. Aquestes afirmacions requereixen confiança — o auditoria externa.
| Afirmació | Per què no és verificable |
|---|---|
| Double Ratchet amb rotació de claus | Les operacions criptogràfiques es fan dins d'un binari WASM. L'usuari veu que es carrega, però no pot llegir quin algorisme executa |
| La clau mestra es genera amb entropia real (256 bits) | La generació usa crypto.getRandomValues dins del navegador. Pots veure que es generen 24 paraules, però no pots verificar des de F12 la qualitat de l'entropia ni que el CSPRNG sigui segur |
| X25519 + Ed25519 + ChaCha20-Poly1305 | Mateix problema: l'stack criptogràfic és dins de WASM. No es poden confirmar les corbes ni els algorismes des del navegador |
| El servidor és "completament cec" | Pots verificar que el client no envia dades llegibles. El que el servidor fa amb les metadades de connexió (IPs, timestamps) requereix confiança o auditoria |
| El servidor no guarda relacions després de la vinculació | Requereix accés al codi i base de dades del servidor |
| Les IPs no es registren | No pots verificar què registra el servidor als seus logs |
| Les claus roten amb cada missatge | Passa dins de WASM. Veus que s'envien missatges, però no pots observar la rotació de claus |
| Les dades esborrades realment desapareixen | Pots esborrar d'IndexedDB local, però no pots verificar que el servidor no reté còpies (tot i que el Manifest diu que mai els va tenir) |
Per què WASM és una barrera real
La capa criptogràfica de Solo2 està compilada en WebAssembly — un format binari que el teu navegador executa però que no pots llegir com a text. Això significa que no pots auditar directament el codi que xifra els teus missatges.
El JavaScript minificat (que fem servir per a la interfície) sí que és reversible: el navegador pot reformatar-lo i l'estructura del codi és llegible. És un procés laboriós, però possible. WASM no: és un binari opac.
Diem que és Double Ratchet amb X25519. Pots confiar en la nostra paraula, o pots esperar que publiquem el codi font de la capa crypto per verificar-ho tu mateix.
Què estem fent perquè puguis confiar més
Publicar hashes SHA-256 dels .wasm
Publicarem el hash criptogràfic de cada fitxer WASM en producció. Així qualsevol auditor podrà verificar que el binari que s'executa al teu navegador coincideix amb el que nosaltres hem compilat.
Obrir la capa crypto com a codi obert
Publicar el codi font de la capa criptogràfica (Zig) com a repositori públic. El mateix model que Signal: protocol criptogràfic obert, resta de l'aplicació privada.
La seguretat no depèn de l'obscuritat
El nostre model de seguretat està dissenyat per funcionar fins i tot si el codi fos públic. No depenem que ningú vegi com funciona — depenem que la criptografia sigui sòlida.
5 documented security layers
Contrasenya (accés al servidor), 24 paraules (clau mestra real), secret de dispositiu (protecció volta) i rotació Double Ratchet. Cada capa és independent i verificable al nostre Manifest de Transparència.