Check it in 2 minutes
Pulsa F12 en tu navegador. Sin instalar nada. Sin saber programar.
| Claim | How to verify | Tab |
|---|---|---|
| No cookies of any kind | Application → Cookies → empty. Solo2 does not install any cookies. Your session is maintained in localStorage, not in cookies. No _ga |
Application |
| No hay servicios de terceros en la app | Network → filtrar por dominio → solo peticiones a solo2.net |
Network |
| Analytics solo en landing, no en la app | Network → en /* |
Network |
| Tu historial vive en tu navegador | Application → IndexedDB → solo2-vault-{userId} |
Application |
| Lista de contactos solo local | Application → IndexedDB → store pares |
Application |
| Sin CDNs externos | Network → todos los JS/CSS se cargan desde el mismo dominio. No hay cdn.jsdelivr.net |
Network |
| Sesiones de 24h máximo | Application → localStorage → solo2_session |
Application |
| Puedes ver qué tipo de conexión usas | En la UI del chat: indicador P2P (verde) vs Mirror/TURN (naranja) visible en todo momento | UI |
| Umami es cookieless | Application → Cookies → no aparece ninguna cookie de stats.menzuri.com |
Application |
| Your master key is randomly generated | Application → when you register, Solo2 generates 24 unique words. They are not derived from your password — they are an independent key with 256 bits of real entropy | Application |
If you know how to use DevTools
Verificaciones que requieren conocimiento técnico. Si entiendes HTTP, WebRTC y criptografía básica, puedes confirmar estas afirmaciones.
| Claim | How to verify |
|---|---|
| Mensajes cifrados E2E | Network → las peticiones a /cmd |
| Señales WebRTC cifradas E2E | Network → los signal messages viajan como blobs binarios cifrados. No son JSON legible con offer |
| Master key independent from password | Network → login receives an encrypted wrapped_master_key |
| Padding uniforme en mirror | Network → los paquetes WebSocket/DataChannel tienen tamaño fijo cuando se usa relay. Inspecciona los sizes en la pestaña Network |
| Contraseña protegida (no viaja en plano) | Network → el login envía un hash, no texto plano. No puedes verificar qué algoritmo usa el servidor (Argon2id), pero sí que tu contraseña original nunca sale del navegador |
| Solicitudes de vinculación caducan en 3 días | Crea una solicitud, no la respondas, verifica tras 3 días que desapareció. Requiere paciencia y dos cuentas |
| Push notifications cifradas | Network → las peticiones push al Service Worker llegan cifradas (estándar Web Push). Se ve el payload cifrado en la pestaña Network |
| Conexión P2P directa vs relay | chrome://webrtc-internals/ |
You can't verify this
Seríamos hipócritas si dijéramos que todo es verificable. Estas afirmaciones requieren que confíes en nosotros — o que esperes a que publiquemos el código.
| Claim | Why it's not verifiable |
|---|---|
| Double Ratchet con rotación de claves | Las operaciones criptográficas ocurren dentro de un binario WASM. El usuario ve que se carga, pero no puede leer qué algoritmo ejecuta |
| The master key is generated with real entropy (256 bits) | Generation uses crypto.getRandomValues within the browser. You can see that 24 words are generated, but you cannot verify from F12 the quality of the entropy or that the CSPRNG is secure |
| X25519 + Ed25519 + ChaCha20-Poly1305 | Mismo problema: el stack criptográfico está dentro de WASM. No se pueden confirmar las curvas ni los algoritmos desde el navegador |
| El servidor es "completamente ciego" | Puedes verificar que el cliente no envía datos legibles. Lo que el servidor hace con los metadatos de conexión (IPs, timestamps) requiere confianza o auditoría del servidor |
| El servidor no guarda relaciones tras vinculación | Requiere acceso al código y base de datos del servidor |
| Las IPs no se registran | No puedes verificar qué registra el servidor en sus logs |
| Las claves rotan con cada mensaje | Ocurre dentro de WASM. Ves que se envían mensajes, pero no puedes observar la rotación de claves |
| Los datos borrados realmente desaparecen | Puedes borrar de IndexedDB local, pero no puedes verificar que el servidor no retiene copias (aunque el Manifiesto dice que nunca los tuvo) |
Por qué WASM es una barrera real
La capa criptográfica de Solo2 está compilada en WebAssembly — un formato binario que tu navegador ejecuta pero que no puedes leer como texto. Esto significa que no puedes verificar desde F12 qué algoritmo usamos.
El JavaScript minificado (que usamos para la interfaz) sí es reversible: el navegador puede reformatearlo y la estructura del código es legible. Es un obstáculo práctico, no una barrera real. Pero WASM compilado desde Zig es fundamentalmente diferente
Decimos que es Double Ratchet con X25519. Puedes confiar en nuestra palabra, o puedes esperar a que publiquemos el código fuente de la capa crypto para que cualquiera pueda auditarlo. Estamos trabajando en ello.
What we're doing so you can trust more
Publicar hashes SHA-256 de los .wasm
Publicaremos el hash criptográfico de cada archivo WASM en producción. Así cualquier auditor podrá verificar que el binario que se ejecuta en tu navegador corresponde exactamente con el que nosotros compilamos.
Abrir la capa crypto como código abierto
Publicar el código fuente de la capa criptográfica (Zig) como repositorio público. El mismo modelo que Signal: protocolo criptográfico abierto, resto del código cerrado. Cualquiera podrá compilar el código fuente y comparar el hash del .wasm resultante con el que está en producción.
La seguridad no depende de la oscuridad
Nuestro modelo de seguridad está diseñado para funcionar incluso si el código fuente es público. Si la seguridad dependiese de que nadie pudiese leer el código, no sería seguridad — sería esperanza.
5 documented security layers
Password (server access), 24 words (real master key), device secret (vault protection) and Double Ratchet rotation. Each layer is independent and verifiable in our Transparency Manifesto.