Ellenőrizd 2 perc alatt
Nyomd meg az F12-t a böngésződben. Telepítés nélkül. Programozási tudás nélkül.
| Állítás | Hogyan ellenőrizhető | Fül |
|---|---|---|
| Semmilyen fajta süti nincs | Application → Cookies → üres. A Solo2 nem telepít semmilyen sütit. A munkameneted a localStorage-ban marad fenn, nem sütikben. Nincs _ga |
Application |
| Nincsenek harmadik fél szolgáltatásai az alkalmazásban | Network → szűrés domain szerint → csak kérések a solo2.net címre |
Network |
| Analitika csak a landing oldalon, nem az alkalmazásban | Network → a /* címen |
Network |
| Az előzményeid a böngésződben élnek | Application → IndexedDB → solo2-vault-{userId} |
Application |
| Kapcsolatlista csak helyben | Application → IndexedDB → store pares |
Application |
| Nincsenek külső CDN-ek | Network → minden JS/CSS ugyanarról a domainről töltődik. Nincs cdn.jsdelivr.net |
Network |
| Munkamenetek maximum 24 óra | Application → localStorage → solo2_session |
Application |
| Láthatod, milyen típusú kapcsolatot használsz | A chat felületen: P2P jelző (zöld) vs Mirror/TURN (narancssárga) mindig látható | UI |
| Az Umami sütimentes | Application → Cookies → nem jelennek meg sütik a stats.menzuri.com címről |
Application |
| A mesterkulcsod véletlenszerűen generálódik | Application → regisztrációkor a Solo2 24 egyedi szót generál. Nem a jelszavadból származnak — egy független kulcs 256 bit valódi entrópiával | Application |
Ha ismered a DevToolst
Ellenőrzések, amelyek technikai tudást igényelnek. Ha érted a HTTP-t, a WebRTC-t és az alapvető kriptográfiát, megerősítheted ezeket az állításokat.
| Állítás | Hogyan ellenőrizhető |
|---|---|
| E2E-titkosított üzenetek | Network → kérések a /cmd címre |
| E2E-titkosított WebRTC jelek | Network → a jelzésüzenetek titkosított bináris blobokként utaznak. Nem olvasható JSON offer |
| Jelszótól független mesterkulcs | Network → a bejelentkezéskor a szerver egy titkosított wrapped_master_key |
| Egységes padding a tükröző szerveren | Network → a WebSocket/DataChannel csomagok fix méretűek relay használatakor. Ellenőrizd a méreteket a Network fülön |
| Jelszó védett (nem utazik szöveges formában) | Network → a bejelentkezés hash-t küld, nem szöveget. Nem tudod ellenőrizni, milyen algoritmust használ a szerver (Argon2id), de ellenőrizheted, hogy az eredeti jelszavad soha nem hagyja el a böngészőt |
| Összekötési kérelmek 3 nap után lejárnak | Hozz létre egy kérelmet, ne válaszolj rá, 3 nap múlva ellenőrizd, hogy eltűnt. Türelmet és két fiókot igényel |
| Push értesítések titkosítva | Network → a push kérések a Service Workerhez titkosítva érkeznek (Web Push szabvány). A titkosított tartalom látható a Network fülön |
| Közvetlen P2P kapcsolat vs. relay | chrome://webrtc-internals/ |
Ezt nem tudod ellenőrizni
Képmutatók lennénk, ha azt állítanánk, hogy minden ellenőrizhető. Ezek az állítások megkövetelik, hogy bízz bennünk — vagy várj, amíg közzétesszük a forráskódot.
| Állítás | Miért nem ellenőrizhető ez |
|---|---|
| Double Ratchet kulcsrotációval | A kriptográfiai műveletek WASM bináris fájlban történnek. A felhasználó látja, hogy betöltődik, de nem tudja olvasni, milyen algoritmust futtat |
| A mesterkulcs valódi entrópiával generálódik (256 bit) | A generálás crypto.getRandomValues-t használ a böngészőben. Láthatod, hogy 24 szó generálódik, de az F12-ből nem tudod ellenőrizni az entrópia minőségét, sem a CSPRNG biztonságát |
| X25519 + Ed25519 + ChaCha20-Poly1305 | Ugyanaz a probléma: a kriptográfiai verem a WASM-on belül van. A böngészőből nem lehet megerősíteni a görbéket vagy algoritmusokat |
| A szerver „teljesen vak” | Ellenőrizheted, hogy a kliens nem küld olvasható adatokat. Amit a szerver a kapcsolati metaadatokkal (IP-k, időbélyegek) tesz, bizalmat vagy szerver-auditot igényel |
| A szerver nem őrzi meg a kapcsolatokat összekötés után | Hozzáférést igényel a szerver forráskódjához és adatbázisához |
| IP-címek nem kerülnek naplózásra | Nem tudod ellenőrizni, mit naplóz a szerver |
| Kulcsok rotálódnak minden üzenettel | A WASM-on belül történik. Látod, hogy üzenetek küldésre kerülnek, de nem figyelheted meg a kulcsrotációt |
| A törölt adatok valóban eltűnnek | Törölhetsz a helyi IndexedDB-ből, de nem tudod ellenőrizni, hogy a szerver nem őriz-e másolatokat (bár a Manifest szerint soha nem is voltak nála) |
Miért valódi gát a WASM
A Solo2 kriptográfiai rétege WebAssemblyre van fordítva — egy bináris formátum, amelyet a böngésződ futtat, de nem tudod szövegként olvasni. Ez azt jelenti, hogy az F12-ből nem tudod ellenőrizni, milyen algoritmust használunk.
A minifikált JavaScript (amelyet a felülethez használunk) visszafordítható: a böngésző átformázhatja, és a kódstruktúra olvasható. Ez gyakorlati akadály, nem valódi gát. De a Zigből fordított WASM alapvetően más
Azt mondjuk, hogy Double Ratchet X25519-cel. Bízhatsz a szavunkban, vagy várhatsz, amíg közzétesszük a kriptográfiai réteg forráskódját, hogy bárki auditálhassa. Dolgozunk rajta.
Mit teszünk azért, hogy jobban bízhass bennünk
.wasm fájlok SHA-256 hash-einek közzététele
Közzétesszük minden éles WASM-fájl kriptográfiai hash-ét. Így bármelyik auditor ellenőrizheti, hogy a böngésződben futtatott bináris fájl pontosan megegyezik azzal, amelyet mi fordítottunk.
A kriptográfiai réteg megnyitása nyílt forráskódként
A kriptográfiai réteg (Zig) forráskódjának közzététele nyilvános repository-ként. Ugyanaz a modell, mint a Signal: nyilvános kriptográfiai protokoll, a kód többi része zárt. Bárki lefordíthatja a forráskódot és összehasonlíthatja a kapott .wasm hash-ét az élesben lévővel.
A biztonság nem függ a titkosságtól
Biztonsági modellünk úgy van tervezve, hogy működjön akkor is, ha a forráskód nyilvános. Ha a biztonság attól függne, hogy senki nem tudja olvasni a kódot, az nem biztonság lenne — az remény lenne.
5 dokumentált biztonsági réteg
Jelszó (szerver hozzáférés), 24 szó (valódi mesterkulcs), eszköztitok (széfvédelem) és Double Ratchet rotáció. Minden réteg független és ellenőrizhető az Átláthatósági Kiáltványunkban.