Ivverifikah f'2 minuti
Agħfas F12 fil-browser tiegħek. Mingħajr ma tinstalla xejn. Mingħajr ma tkun taf tipprogramma.
| Affermazzjoni | Kif tivverifikah | Tab |
|---|---|---|
| L-ebda cookies ta' ebda tip | Application → Cookies → vojt. Solo2 ma jinstallax l-ebda cookie. Is-sessjoni tiegħek tinżamm f'localStorage, mhux f'cookies. Mingħajr _ga |
Application |
| M'hemmx servizzi ta' partijiet terzi fl-app | Network → iffiltra skont id-dominju → biss talbiet lil solo2.net. M'hemmx Google, Facebook, Cloudflare jew oħrajn. |
Network |
| Analytics biss fil-landing, mhux fl-app | Network → f'/* tara talbiet lil stats.menzuri.com. Fl-app (/app/*), xejn. |
Network |
| L-istorja tiegħek tgħix fil-browser tiegħek | Application → IndexedDB → solo2-vault-{userId}. Id-data ċċifrata tiegħek qiegħda hawn, mhux fis-server. |
Application |
| Il-lista tal-kuntatti biss lokali | Application → IndexedDB → store pares. Teżisti biss fil-browser tiegħek. |
Application |
| Mingħajr CDNs esterni | Network → il-JS/CSS kollha jittagħbew mill-istess dominju. M'hemmx cdn.jsdelivr.net, unpkg.com jew simili. |
Network |
| Sessjonijiet ta' massimu 24 siegħa | Application → localStorage → solo2_session. It-token għandu skadenza verifikabbli. |
Application |
| Tista' tara liema tip ta' konnessjoni qed tuża | Fl-UI taċ-chat: indikatur P2P (aħdar) vs Mirror/TURN (oranġjo) viżibbli f'kull ħin | UI |
| Umami huwa cookieless | Application → Cookies → ma jidher l-ebda cookie minn stats.menzuri.com. Umami ma jużax cookies. |
Application |
| Iċ-ċavetta maestra tiegħek tiġi ġġenerata b'mod aleatorju | Application → meta tirreġistra, Solo2 jiġġenera 24 kelma uniċi. Ma jiġux derivati mill-password tiegħek — huma ċavetta indipendenti b'256 bit ta' entropija reali | Application |
Jekk taf tuża DevTools
Verifiki li jeħtieġu għarfien tekniku. Jekk tifhem HTTP, WebRTC u kriptografija bażika, tista' tikkonferma dawn l-affermazzjonijiet.
| Affermazzjoni | Kif tivverifikah |
|---|---|
| Messaġġi ċċifrati E2E | Network → it-talbiet lil /cmd għandhom payloads iċċifrati (base64/binarju). M'hemmx JSON li jinqara b'test sempliċi. |
| Sinjali WebRTC iċċifrati E2E | Network → il-messaġġi tas-sinjalazzjoni jivvjaġġaw bħala blobs binarja ċċifrati. Mhumiex JSON li jinqara b'offer/answer sempliċi. |
| Ċavetta maestra indipendenti mill-password | Network → il-login jirċievi wrapped_master_key |
| Padding uniformi fil-mirror | Network → il-pakketti WebSocket/DataChannel għandhom daqs fiss meta jintuża relay. Iċċekkja d-daqsijiet fit-tab Network |
| Password protetta (ma tivvjaġġax f'test sempliċi) | Network → il-login jibgħat hash, mhux test sempliċi. Ma tistax tivverifika l-algoritmu tas-server (Argon2id), iżda tista' tara li l-password oriġinali tiegħek qatt ma tintbagħat. |
| It-talbiet ta' rabta jiskadu fi 3 ijiem | Oħloq talba, twieġibx, ivverifika wara 3 ijiem li għebet. Teħtieġ paċenzja, iżda hija verifikabbli. |
| Push notifications iċċifrati | Network → it-talbiet push lis-Service Worker jaslu ċċifrati (standard Web Push). Il-payload iċċifrat jidher fit-tab Network |
| Konnessjoni P2P diretta vs relay | chrome://webrtc-internals/ → ivverifika l-kandidati ICE. Jekk tara typ srflx jew typ relay, tkun taf jekk hix diretta jew ritrasmessa. |
Dan ma tistax tivverifikah
Inkunu ipokriti kieku ngħidu li kollox huwa verifikabbli. Dawn l-affermazzjonijiet jeħtieġu fiduċja — jew awditu estern.
| Affermazzjoni | Għaliex mhux verifikabbli |
|---|---|
| Double Ratchet b'rotazzjoni taċ-ċwievet | L-operazzjonijiet kriptografiċi jseħħu ġewwa binarju WASM. L-utent jara li jittagħba, iżda ma jistax jaqra liema algoritmu jeżegwixxi |
| Iċ-ċavetta maestra tiġi ġġenerata b'entropija reali (256 bit) | Il-ġenerazzjoni tuża crypto.getRandomValues ġol-browser. Tista' tara li jiġu ġġenerati 24 kelma, iżda ma tistax tivverifika minn F12 il-kwalità tal-entropija u lanqas li l-CSPRNG huwa sigur |
| X25519 + Ed25519 + ChaCha20-Poly1305 | L-istess problema: l-istakk kriptografiku huwa ġewwa l-WASM. Il-kurvi u l-algoritmi ma jistgħux jiġu kkonfermati mill-browser |
| Is-server huwa "kompletament għami" | Tista' tivverifika li l-klijent ma jibgħatx data li tinqara. Dak li s-server jagħmel bil-metadata tal-konnessjoni (IPs, timestamps) jeħtieġ fiduċja jew awditu |
| Is-server ma jaħżinx relazzjonijiet wara r-rabta | Jeħtieġ aċċess għall-kodiċi u d-database tas-server |
| L-IPs ma jiġux irreġistrati | Ma tistax tivverifika x'jirreġistra s-server fil-logs tiegħu |
| Iċ-ċwievet jiddawru ma' kull messaġġ | Iseħħ ġewwa l-WASM. Tara li l-messaġġi jintbagħtu, iżda ma tistax tosserva r-rotazzjoni taċ-ċwievet |
| Id-data mħassra tgħib verament | Tista' tħassar minn IndexedDB lokali, iżda ma tistax tivverifika li s-server ma jżommx kopji (għalkemm il-Manifest jgħid li qatt ma kellu) |
Għaliex WASM hija barriera reali
Il-livell kriptografiku ta' Solo2 huwa kkompilat f'WebAssembly — format binarju li l-browser tiegħek jeżegwixxi iżda li ma tistax taqra bħala test. Dan ifisser li ma tistax tawditja direttament il-kodiċi li jiċċifra l-messaġġi tiegħek.
Il-JavaScript minimizzat (li nużaw għall-interfaċċja) huwa riversibbli: il-browser jista' jifformattjah mill-ġdid u l-istruttura tal-kodiċi hija leġġibbli. Huwa proċess iebes, iżda possibbli. WASM le: huwa binarju opaku.
Ngħidu li huwa Double Ratchet b'X25519. Tista' tafda l-kelma tagħna, jew tista' tistenna sakemm nippubblikaw il-kodiċi sors tal-livell crypto biex tivverifikah int stess.
X'qed nagħmlu biex tkun tista' tafda aktar
Ippubblika SHA-256 hashes tal-.wasm
Se nippubblikaw il-hash kriptografiku ta' kull fajl WASM fil-produzzjoni. Hekk kwalunkwe awditur ikun jista' jivverifika li l-binarju li jeżegwixxi fil-browser tiegħek jaqbel ma' dak li aħna kkumpilajna.
Iftaħ il-livell crypto bħala kodiċi miftuħ
Ippubblika l-kodiċi sors tal-livell kriptografiku (Zig) bħala repożitorju pubbliku. L-istess mudell bħal Signal: protokoll kriptografiku miftuħ, il-bqija tal-applikazzjoni privata.
Is-sigurtà ma tiddependix mis-segretezza
Il-mudell tas-sigurtà tagħna huwa ddisinjat biex jaħdem anke jekk il-kodiċi kien pubbliku. Ma ndependux minn li ħadd ma jara kif jaħdem — ndependu mill-qawwa tal-kriptografija.
5 documented security layers
Password (aċċess għas-server), 24 kelma (ċavetta maestra reali), sigriet tal-apparat (protezzjoni kexxun) u rotazzjoni Double Ratchet. Kull saff huwa indipendenti u verifikabbli fil-Manifest ta' Trasparenza tagħna.