Temel ilke
Solo2 sunucusu tamamen kördür. No sabe con quién hablas, qué dices, ni qué archivos compartes. Ni siquiera las señales técnicas que establecen la conexión entre dispositivos son legibles para el servidor — viajan cifradas de extremo a extremo.
Mesajlarınız cihazlar arasında doğrudan, uçtan uca şifreli olarak iletilir. Geçmişiniz tarayıcınızda şifreli olarak yaşar, asla sunucumuzda değil.
Şifreleme anahtarları her mesajda otomatik olarak döner. Her mesaj, hemen ardından atılan benzersiz bir anahtarla şifrelenir. Bu, teknik olarak Double Ratchet, y significa que incluso si alguien obtuviese una clave, solo podría leer un único mensaje — no la conversación. Además, la seguridad se restaura automáticamente tras cada turno de comunicación: una clave comprometida se vuelve inútil en cuanto se intercambia el siguiente mensaje.
Cihazlar arasında doğrudan bağlantı mümkün olmadığında (örneğin ağ kısıtlamaları nedeniyle), bir ayna sunucu (teknik adıyla TURN) kullanılır: veriler bir cihazdan diğerine yansıtılır, ancak ayna neyi yansıttığının farkında değildir — her şey uçtan uca şifreli iletilir ve sunucu okuyamaz. Ayrıca tüm paketler, bir gözlemcinin trafik boyutunu veya sıklığını analiz ederek bilgi çıkarmasını engellemek için tekdüze boyuta doldurulur.
Uygulamada her zaman hangi bağlantı türünü kullandığınızı görebilirsiniz — directa o a través del servidor espejo — y actuar en consecuencia.
Ana anahtarınız 256 bit gerçek entropi ile rastgele üretilir — Bitcoin ile aynı seviye. Al crear tu cuenta, Solo2 genera una clave única que se representa como 24 palabras. Tu contraseña protege el acceso al servicio. Tus 24 palabras son la llave de tus datos. Son dos llaves diferentes para dos puertas diferentes.
Sunucumuz ortadan kaybolsa bile verileriniz hayatta kalır. 24 kelimenizle sunucuya bağlanmadan yerel kasanıza erişebilirsiniz. Verileriniz sizindir — gerçekten.
1. Sunucuda bulunan veriler
1.1 Kullanıcı hesabınız
Bunlar kaydınızda bulunan tüm alanlardır. Başka alan yoktur.
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Kullanıcı adı | Oturum açabilmeniz için | Düz metin (tasarım gereği herkese açık) | Hesabınızı silene kadar |
| Şifre | Kimlik doğrulama | Argon2id ile korunur (OWASP tarafından önerilir, özel donanım saldırılarına dayanıklı). Gerçek şifrenizi asla saklamıyoruz, solo una huella matemática irreversible | Hesabınızı silene kadar |
| Herkese açık ad | Kişilerinizin sizi tanıması için | Düz metin (siz seçersiniz) | Değiştirene veya hesabınızı silene kadar |
| Bağlantı kodu | Solo2 içindeki adresiniz — bir telefon numarası gibi. Birinin sizi bulması ve bağlantı isteği göndermesi için paylaştığınız şey | Düz metin, benzersiz (~10 karakter) | Hesabınızı silene kadar |
| Açık anahtar | Size gönderilen verileri şifrelemek için uygulamanın otomatik olarak kullandığı kriptografik dize. Kimse doğrudan kullanmaz — uygulama halleder. Bağlantı kodu sizi bulmak içindir; açık anahtar size şifrelemek içindir | Açık anahtar (44 karakter). Risk olmadan bilinebilir — yalnızca tarayıcınızdaki özel anahtarınız şifreyi çözebilir | Hesabınızı silene kadar |
| Mali bakiye | Hesabınıza eklediğiniz para | Sayı (kuruş cinsinden) | Hesabınızı silene kadar |
| Bonus bakiye | Alınan bonuslar (davetler, promosyonlar, hediyeler). Mali bakiyeden önce tüketilir | Sayı (kuruş cinsinden) | Hesabınızı silene kadar |
| Hesap türü | Mevcut planınız (deneme, standart, altın, platin) | Metin | Değişene veya hesabınızı silene kadar |
| Deneme bitiş tarihi | Ücretsiz deneme sürenizin ne zaman sona ereceği | Tarih | Hesabınızı silene kadar |
| Kayıt tarihi ve saati | Hesabınızı ne zaman oluşturduğunuz | Tam tarih ve saat (timestamp) | Kalıcı |
| Son etkinlik | Uygulamayı en son ne zaman kullandığınız | Tarih ve saat | Her kullanımda güncellenir |
| Dahili tanımlayıcılar | Sistemin dahili olarak size atıfta bulunmak için kullandığı kodlar | Opak ID'ler, sistem dışında anlamsız | Hesabınızı silene kadar |
| Güvenlik sürümü | Şifre koruma algoritmasının hangi sürümünün kullanıldığı | Dahili numara | Hesabınızı silene kadar |
| Durum göstergeleri | Teknik bayraklar (bakiyeniz değişti mi, maksimum güvenlik modunuz aktif mi) | 1 bayt — tek bir harf kadar. Daha fazlası sığmaz | Hesabınızı silene kadar |
Hacim hakkında bir fikir vermek için: kaydınız yaklaşık 250 sabit karakter (tanımlayıcılar, tarihler, anahtarlar, bakiyeler) artı seçtiğiniz adların uzunluğunu kaplar. Şifre bunu etkilemez: her zaman sabit boyutlu bir parmak izi olarak saklanır. Örneğin, adınız «Ahmet» ve herkese açık adınız «Ahmet Yılmaz» ise, sunucumuzda kapladığınız her şey yaklaşık 264 karakter — bu paragraftan az.
1.2 Aktif oturumlar
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Oturum jetonu | Oturumunuzu aktif tutmak | Yalnızca geri dönüşümsüz bir parmak izi (hash) saklıyoruz, orijinal jetonu değil | 24 saat máximo, luego se borra automáticamente |
| Son etkinlik tarihi | Etkin olmayan oturumların süresini doldurmak | Tarih ve saat | Oturumla birlikte silinir |
1.3 Bağlantı talepleri
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Talep edenin ID'si | Talebi kimin gönderdiğini bilmek | Dahili ID | 3 gün máximo. Si no se responde, se elimina automáticamente |
| Alıcının ID'si | Kime yönelik olduğunu bilmek | Dahili ID | Talep edenle aynı |
| Durum | Beklemede / kabul edildi / reddedildi | Metin | Çözüldüğünde veya süresi dolduğunda silinir |
Önemli not: Una vez aceptada la vinculación, el servidor no guarda la relación. Tu lista de contactos existe solo en tu navegador, cifrada.
1.4 Davetler
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Davet kodu | Birini davet etmek için benzersiz bağlantı | Rastgele jeton | Kullanılana veya süresi dolana kadar (30 gün) |
| Gönderenin ID'si | Kimin davet ettiğini bilmek | Dahili ID | Kalıcı (muhasebe) |
| Hediye tutarı | Davetle birlikte hediye edilen bakiye | Sayı | Kalıcı (muhasebe) |
1.5 Push abonelikleri (bildirimler)
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Bildirim adresi | Tarayıcınıza bildirim göndermek | Tarayıcı sağlayıcısının URL'si (Google, Mozilla veya Apple) | Bildirimleri devre dışı bırakana veya hesabınızı silene kadar |
| Push şifreleme anahtarları | Bildirimi yalnızca tarayıcınızın okuyabilmesi için şifrelemek | Web Push standardı | Adresle aynı |
1.6 Geri bildirim (destek)
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Mesajınız | Size yardımcı olabilmemiz için | Düz metin | İşleyene kadar |
| Kullanıcı ID'niz | Kimin yardıma ihtiyacı olduğunu bilmek için | Dahili ID | Mesajla aynı |
1.7 Bağlantı sinyallemesi (geçici)
İki cihazın doğrudan bağlanabilmesi için bazı teknik bağlantı kurma sinyallerini (WebRTC protokolü) değiş tokuş etmesi gerekir. Bu sinyaller sunucumuzdan kısa süreliğine geçer, ancak uçtan uca şifrelidir — el servidor solo transporta un bloque opaco que no puede descifrar.
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Bağlantı sinyalleri | Cihazlar arasında doğrudan bağlantı kurmak | Alıcının açık anahtarıyla uçtan uca şifreli. Sunucu onları okuyamaz veya değiştiremez | 60 saniye máximo, luego se borran. En memoria, nunca en disco |
1.8 Ayna sunucu (TURN relay)
Doğrudan bağlantı mümkün değilse, bir ayna sunucu kullanılır: veriler, ışığın bir aynadan geçmesi gibi onun üzerinden geçer — bir taraftan diğerine yansıtılır, ancak ayna neyi yansıttığının farkında değildir. Tüm paketler, bir gözlemcinin bir mesajı basit bir bağlantı atışından ayırt edememesi için tekdüze boyuta doldurulur.
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Erişim kimlik bilgisi | Ayna sunucuda kimlik doğrulama | Kimliğiniz geri dönüşümsüz bir parmak izine dönüştürülür — ayna sunucu kim olduğunuzu bilmez | 24 saat, luego se regenera |
1.9 İşlenen ödemeler
Ödemeler, anonimlikle gerçek bir sürtünme noktasının var olduğu tek noktadır. Bu konuda dürüst olalım.
Solo2'ya kaydolduğunuzda bir kullanıcı adı (uydurma olabilir), bir şifre ve herkese açık bir ad (istersen de uydurma) seçersiniz. Sizi gerçek bir kişiye bağlayan hiçbir veri yoktur. Ancak kartla ödeme yaparsanız, finans kuruluşunuz kim olduğunuzu bilir.
Ödeme geçidinden aldığımız tek şey bir onay ve bir tutardır. Kart sahibinin adını, kart numarasını, kimlik numarasını veya ödeme yapan kişinin herhangi bir kişisel verisini almıyor veya saklamıyoruz. Bunlar küçük tutarlar — yasal olarak bir büfeden şeker almak gibi nakit fiş eşdeğeridir: büfeci ödeme yapanın kimliğini kaydetmez.
Ayrıca ödeme kaydı kasıtlı olarak bağlantısı kesilmiştir de tu cuenta de usuario. No existe ningún campo en nuestra base de datos que cruce un ticket de cobro con una cuenta concreta.
| Veri | Neden | Koruma | Süre |
|---|---|---|---|
| Ödeme kaydı | Muhasebe ve vergi yükümlülükleri | Onay + tutar. Ödeme yapanın kişisel verisi yok. Hiçbir kullanıcı hesabına bağlantı yok | Kalıcı (yasal zorunluluk) |
Olabilecek en kötü senaryo hakkında: Incluso con una orden judicial, la cadena de rastreo sería: tu tarjeta → tu banco → la pasarela de pago → nuestro ticket de cobro. Pero nuestro ticket no contiene ningún identificador de usuario. No es un descuido: es una decisión de diseño. No existe ningún campo ni índice en nuestra base de datos que relacione un pago con una cuenta. La única vía teórica sería una correlación temporal — si fueses el único pago en un periodo dado — pero incluso en ese caso extremo, la cuenta no contiene información que identifique a la persona real: el nombre de usuario y el nombre público pueden ser totalmente inventados.
Tüm gelirlerimiz yasal olup ödeme geçidi üzerinden kayıtlı olarak girmektedir. İlgili vergileri beyan edip ödüyoruz. Ancak müşterinin anonimliği bizim tarafımızdan tamamen sağlanmıştır.
2. Sunucuda BULUNMAYAN veriler
Bizi tanımlayan budur. Solo2 sunucusu şunları saklamaz ve bunlara erişimi yoktur:
- Mesajlarınız — Viajan directamente entre dispositivos, cifrados de extremo a extremo. El servidor nunca los ve.
- Dosyalarınız — Igual que los mensajes: directos y cifrados.
- Kişi listeniz — Existe solo en tu navegador, cifrada en La Bóveda.
- Sohbet geçmişiniz — Solo en tu navegador, cifrado.
- Konumunuz — Los GeoSellos se calculan en tu dispositivo y se envían directamente al destinatario. El servidor nunca los procesa.
- Kullanım analitiği — La aplicación Solo2 no tiene ningún sistema de analíticas, ni cookies de seguimiento, ni scripts de terceros.
- Cihaz verileri — No recogemos modelo, resolución, sistema operativo, ni ninguna característica de tu dispositivo.
- İletişim üstverileri — No sabemos con quién hablas, cuándo, con qué frecuencia, ni durante cuánto tiempo.
IP adresiniz hakkında
IP adresinizi kaydetmiyoruz. Ne uygulama ne de web sunucusu loglarında IP adresi saklar. IP'nizi içerebilecek bağlantı sinyalleri uçtan uca şifrelidir — sunucu okuyamaz.
3. Tarayıcınızdaki veriler (Kasa)
Aşağıdakilerin tümü yalnızca tarayıcınızda yaşar, cifrado con AES-256-GCM (un estándar de cifrado de grado militar utilizado por gobiernos y entidades financieras). La clave se genera a partir de tu contraseña mediante Argon2id (el algoritmo más resistente disponible contra ataques con hardware especializado), y este proceso ocurre enteramente dentro de tu navegador. Tu contraseña nunca se envía al servidor.
Verileriniz durağan halde şifrelidir — birisi tarayıcınızın depolama alanına erişse bile, şifreniz olmadan yalnızca okunamaz şifreli bloklar bulur.
Bir yedek dışa aktardığınızda, aynı korumayla (Argon2id + AES-256-GCM) şifrelenir. Yalnızca şifrenizi bilen kişi şifreyi çözebilir.
| Veri | Şifreleme | Kontrol |
|---|---|---|
| Mesajlar | AES-256-GCM | Ne zaman sileceğinize siz karar verirsiniz |
| Dosyalar | AES-256-GCM | Ne zaman sileceğinize siz karar verirsiniz |
| Kişiler (çiftler) | AES-256-GCM | Kimi bağlayacağınıza siz karar verirsiniz |
| Doğrulama durumu | AES-256-GCM | Her kişinin kimliğini siz doğrularsınız |
| Arama dizini | Geri dönüşümsüz jetonlarla (HMAC) şifrelenmiş | Mesajlarınızdan yeniden oluşturulur |
| Teslim durumu | AES-256-GCM | Hangi mesajların teslim edildiği |
| Bekleyen mesajlar | AES-256-GCM | Bağlantı olmadığında gönderim kuyruğu |
Tarayıcının geçici depolaması
| Veri | Tür | Süre | Neden |
|---|---|---|---|
| Kullanıcı oturumu | Tarayıcının yerel belleği (localStorage) | Oturumu kapatana kadar | Oturumunuzu açık tutmak |
| Uygulama sürümü | Tarayıcının yerel belleği (localStorage) | Kalıcı | Güncellemeleri algılamak |
| Tema tercihi | Tarayıcının yerel belleği (localStorage) | Kalıcı | Görsel temanızı hatırlamak |
| Dil tercihi | Tarayıcının yerel belleği (localStorage) | Kalıcı | Dilinizi hatırlamak |
| Şifre (maksimum güvenlik modu) | Sekme belleği (sessionStorage) | Sekme kapatıldığında kaybolur | Sayfayı yenilediğinizde şifrelemeyi yeniden başlatmak |
Tarayıcıda güvenlik hakkında not
Solo2 web tarayıcınızda çalışır. Şifrelenmiş verileriniz durağan halde korumalıdır, ancak uygulama açıkken ve çözülmüş mesajlarınızı ekranda gösterirken güvenlik ortamınıza da bağlıdır:
- Tarayıcı uzantıları: Una extensión maliciosa con acceso a las páginas que visitas podría, en teoría, leer lo que se muestra en pantalla. Recomendamos utilizar el menor número posible de extensiones y solo de fuentes de confianza.
- Temiz tarayıcı: Un navegador actualizado y sin extensiones innecesarias es tu mejor aliado.
- Yerel uygulama: En el futuro, ofreceremos una aplicación de escritorio (Windows, Mac, Linux) que proporcionará un nivel adicional de aislamiento al no depender del entorno del navegador.
4. Ağ bağlantıları
Solo2 uygulaması
| Alan adı | Neden | Gönderilen veri |
|---|---|---|
| solo2.net | Uygulama API'si | Kimlik doğrulama, sinyalleme, mevcut durumu |
| pay.menzuri.com | Ödeme geçidi | Yalnızca ödeme yaparsanız |
Başka hiçbir alan adı yok. Ningún script externo. Ningún CDN de seguimiento. La política de seguridad de contenido (CSP) del servidor lo impone técnicamente: cualquier intento de cargar recursos de otros dominios es bloqueado por el navegador.
Cihazınızın genel IP adresini keşfetmek için bile (kullanıcılar arasında doğrudan bağlantı kurmak için gerekli) kendi sunucumuzu (teknik adıyla STUN) kullanıyoruz. Harici hizmetlere devretmiyoruz. Kendimiz yönetiyoruz.
Tanıtım sayfası
Tanıtım sayfası (solo2.net/info) — uygulamadan bağımsızdır — Almanya'daki kendi sunucularımızda barındırılan anonim bir ölçüm sistemi kullanır:
| Alan adı | Neden | Gönderilen veri |
|---|---|---|
| stats.menzuri.com | Anonim ziyaret ölçümü | Ziyaret edilen sayfa (çerez yok, IP yok, tanımlama yok) |
Bu sistem çerez yüklemez, IP adresinizi kaydetmez, sizi tanımlamaz, ziyaretler arasında takip etmez ve üçüncü taraflarla veri paylaşmaz. Solo2 uygulamasında bu veya başka herhangi bir analitik sistemi yoktur.
5. Verilerinizi silme
İki farklı işlem vardır ve aradaki farkı bilmeniz önemlidir:
Yerel verileri silme
Uygulama ayarlarından iki yerel silme seçeneğiniz vardır:
- Verilerimi sil — Elimina solo tus datos (identidad, bóveda, sesión) sin afectar a otros usuarios que usen el mismo navegador.
- Acil sıfırlama — Borra absolutamente todo: datos de todos los usuarios, Service Worker, caché y claves criptográficas. Requiere doble confirmación.
Her iki durumda da sunucudaki hesabınız var olmaya devam eder. Puedes volver a iniciar sesión, pero tus datos locales se habrán perdido irreversiblemente. Al hacerlo, se genera una identidad criptográfica completamente nueva: quien tuviese tu clave pública anterior ya no puede cifrar nada para ti. Si un contacto anterior quiere reconectarse, deberá solicitarte vinculación de nuevo, y tú decides si la aceptas o no.
Cihazlar arası otomatik kurtarma
Bir cihazda verilerinizi kaybederseniz ve bağlı başka bir cihazınız varsa, Solo2 durumu algılar ve kimliğinizi ve kasanızı otomatik olarak geri yüklemeyi önerir. Geri yükleme, sunucudan geçmeden cihazlarınız arasında doğrudan bağlantı üzerinden şifreli (Argon2id) olarak iletilir.
Sunucudan hesabınızı silme
- Tüm las filas en la base de datos asociadas a tu ID: cuenta, sesiones, solicitudes, invitaciones, suscripciones push, feedback.
- Silme işlemi atomiktir (todo o nada): o se borra todo o no se borra nada.
- Ödeme kayıtları kasıtlı olarak bağlantısız kalır de tu identidad — existen por obligación legal, pero no se puede trazar un pago a tu persona.
- Sunucu loglarındaki tanımlayıcılar geri dönüşümsüz parmak izleridir: hesabınız silindikten sonra bir logu hesabınıza bağlamak mümkün değildir.
- Tarayıcınızdaki Kasa bu işlemle otomatik olarak silinmez (tarayıcınıza erişimimiz yoktur). Silmek için önce nükleer silmeyi çalıştırın veya tarayıcınızda site verilerini temizleyin.
5b. Ana anahtarınız ve 24 kelimeniz
Solo2'da hesap oluştururken, 256 bit gerçek entropiye sahip bir ana anahtar üretilir (Bitcoin'in kullandığının aynısı). Bu anahtar yalnızca sizin bildiğiniz 24 kelime olarak temsil edilir. Şifreniz bu anahtarı sunucuda şifreli olarak saklamak üzere sarar — sunucu okuyamaz.
Bu, iki bağımsız anahtarınız olduğu anlamına gelir: tu contraseña (para conectar al servidor y recuperar tu clave envuelta) y tus 24 palabras (para acceder directamente a tus datos sin servidor). Si pierdes una, la otra te protege. Si pierdes ambas, tus datos son irrecuperables — como en Bitcoin.
Kesin algoritmalar (doğrulanabilir)
Üretim: CSPRNG del sistema operativo (crypto.getRandomValues, 256 bits). Cifrado de la clave maestra: Argon2id (OWASP) para derivar la clave de envoltorio + AES-256-GCM (cifrado autenticado) para protegerla. Identidad: Ed25519 (firma) + X25519 (intercambio). Mensajes: Double Ratchet con ChaCha20-Poly1305. Al cerrar la pestaña del navegador, todos los datos sensibles desaparecen de la memoria.
Ana anahtarınız nasıl korunur
| Katman | Ne olduğu | Nerede yaşıyor |
|---|---|---|
| Şifre | Sunucuya erişim. Ana anahtarınızı sarar | Hafızanızda + sunucuda hash olarak |
| Cihaz sırrı | Kurulumda otomatik üretilen görünmez ikinci faktör | Cihazınızda (çıkarılamaz) |
| Ana anahtar (24 kelime) | 256 bit gerçek entropi, rastgele üretilmiş. Bitcoin seviyesi (BIP39) | Sakladığınız bir kağıtta + sunucuda sarılmış olarak |
| Anahtar rotasyonu | Her mesaj, ardından yok edilen benzersiz bir anahtar kullanır (Double Ratchet) | Otomatik, şeffaf |
Şifrenizi değiştirirseniz
Şifrenizi değiştirmek anlıktır. Yalnızca ana anahtarınız yeni şifreyle yeniden sarılır — kimliğiniz değişmez, kasanız yeniden şifrelenmez, kişileriniz etkilenmez ve 24 kelimeniz aynı kalır. Milisaniyelik bir işlemdir.
Kurtarma
Şifrenizi kaybederseniz, 24 kelimenizle — sunucuya ihtiyaç duymadan — kasanıza erişebilirsiniz. 24 kelimenizi kaybederseniz, şifrenizle giriş yapabilirsiniz ve sunucu sarılmış anahtarınızı geri verir. İkisini de kaybederseniz, verileriniz kurtarılamaz. Bitcoin'de olduğu gibi, bu tasarım gereği güvenliktir.
6. Birisi sunucuya yetkisiz erişim sağlarsa ne olur
Bir saldırgan Solo2 sunucusuna tam erişim elde ederse şunları elde ederdi:
- Kullanıcı adları ve herkese açık adlar
- Bağlantı kodları
- Açık anahtarlar (tarayıcınızdaki özel anahtar olmadan işe yaramaz)
- Şifre parmak izleri (Argon2id sayesinde son derece maliyetli kaba kuvvet saldırısı olmadan işe yaramaz)
- Oturum jetonu parmak izleri (orijinal jeton olmadan işe yaramaz)
- Bekleyen bağlantı talepleri (dahili ID'ler, 3 günde süresi dolar)
- Hesap türü, bakiyeler ve kayıt tarihleri
- Ödeme kayıtları (belirli bir kullanıcıya bağlama imkanı olmadan)
Elde EDEMEYECEKLERİ:
- Hiçbir mesaj (sunucuda hiç bulunmadı)
- Hiçbir dosya (sunucuda hiç bulunmadı)
- Hiçbir kişi listesi (sunucuda hiç bulunmadı)
- Hiçbir sohbet geçmişi (sunucuda hiç bulunmadı)
- Hiçbir özel şifreleme anahtarı (tarayıcınızda yaşar)
- Hiçbir IP adresi (kayıt altına alınmaz)
7. Taahhüdümüz
Bu manifesto, veri yönetiminde her ilgili değişiklikle güncellenecektir. Veritabanına yeni bir alan eklersek, burada görünecektir. Bir şeyi kaldırırsak, o da görünecektir.
Yürürlükteki sürüm her zaman bu sayfadır.