Sjekk det på 2 minutter
Trykk F12 i nettleseren din. Uten å installere noe. Uten å kunne programmere.
| Påstand | Hvordan verifisere det | Fane |
|---|---|---|
| Det finnes ingen informasjonskapsler av noe slag | Application → Cookies → tomt. Solo2 installerer ingen informasjonskapsler. Sesjonen din opprettholdes i localStorage, ikke i cookies. Ingen _ga |
Application |
| Ingen tredjepartstjenester i appen | Network → filtrer på domene → kun forespørsler til solo2.net |
Network |
| Analyse bare på landing page, ikke i appen | Network → i /* |
Network |
| Historikken din lever i nettleseren din | Application → IndexedDB → solo2-vault-{userId} |
Application |
| Kontaktliste bare lokalt | Application → IndexedDB → store pares |
Application |
| Ingen eksterne CDN-er | Network → alle JS/CSS lastes fra samme domene. Ingen cdn.jsdelivr.net |
Network |
| Sesjoner på maks 24 timer | Application → localStorage → solo2_session |
Application |
| Du kan se hvilken tilkoblingstype du bruker | I chat-brukergrensesnittet: P2P-indikator (grønn) vs Mirror/TURN (oransje) synlig til enhver tid | UI |
| Umami er uten informasjonskapsler | Application → Cookies → ingen informasjonskapsel fra stats.menzuri.com dukker opp |
Application |
| Masternøkkelen din genereres tilfeldig | Application → ved registrering genererer Solo2 24 unike ord. De er ikke avledet fra passordet ditt — de er en uavhengig nøkkel med 256 biter ekte entropi | Application |
Hvis du vet hvordan du bruker DevTools
Verifiseringer som krever teknisk kunnskap. Hvis du forstår HTTP, WebRTC og grunnleggende kryptografi, kan du bekrefte disse påstandene.
| Påstand | Hvordan verifisere det |
|---|---|
| E2E-krypterte meldinger | Network → forespørslene til /cmd |
| E2E-krypterte WebRTC-signaler | Network → signaleringsmeldinger reiser som krypterte binære blobs. De er ikke lesbar JSON med offer |
| Masternøkkel uavhengig av passord | Network → innloggingen mottar en wrapped_master_key |
| Uniform padding i mirror | Network → WebSocket/DataChannel-pakker har fast størrelse når relay brukes. Inspiser størrelsene i Network-fanen |
| Passord beskyttet (reiser ikke i klartekst) | Network → innloggingen sender en hash, ikke klartekst. Du kan ikke verifisere hvilken algoritme serveren bruker (Argon2id), men du kan se at ditt originale passord aldri forlater nettleseren |
| Tilkoblingsforespørsler utløper etter 3 dager | Opprett en forespørsel, ikke svar på den, verifiser etter 3 dager at den forsvant. Krever tålmodighet og to kontoer |
| Krypterte push-varslinger | Network → push-forespørsler til Service Worker ankommer kryptert (Web Push-standard). Kryptert payload sees i Network-fanen |
| Direkte P2P-tilkobling vs relay | chrome://webrtc-internals/ |
Dette kan du ikke verifisere
Vi ville vært hyklere hvis vi sa at alt er verifiserbart. Disse påstandene krever at du stoler på oss — eller venter til vi publiserer koden.
| Påstand | Hvorfor det ikke er verifiserbart |
|---|---|
| Double Ratchet med nøkkelrotasjon | Kryptografiske operasjoner skjer i en WASM-binærfil. Brukeren ser at den lastes, men kan ikke lese hvilken algoritme den utfører |
| Masternøkkel genereres med ekte entropi (256 biter) | Genereringen bruker crypto.getRandomValues i nettleseren. Du ser at 24 ord genereres, men du kan ikke verifisere fra F12 kvaliteten på entropien eller om CSPRNG-en er sikker |
| X25519 + Ed25519 + ChaCha20-Poly1305 | Samme problem: krypto-stakken er inne i WASM. Kurver og algoritmer kan ikke bekreftes fra nettleseren |
| Serveren er "helt blind" | Du kan verifisere at klienten ikke sender lesbare data. Hva serveren gjør med tilkoblingsmetadata (IP-er, tidsstempler) krever tillit eller server-revisjon |
| Serveren lagrer ikke relasjoner etter vinculación | Krever tilgang til serverens kode og database |
| IP-adresser logges ikke | Du kan ikke verifisere hva serveren registrerer i sine logger |
| Nøkler roterer med hver melding | Skjer inne i WASM. Du ser at meldinger sendes, men du kan ikke observere nøkkelrotasjonen |
| Slettede data forsvinner virkelig | Du kan slette fra lokal IndexedDB, men du kan ikke verifisere at serveren ikke beholder kopier (selv om Manifestet sier at den aldri hadde dem) |
Hvorfor WASM er en reell barriere
Solo2s kryptografiske lag er kompilert i WebAssembly — et binært format som nettleseren din utfører, men som du ikke kan lese som tekst. Dette betyr at du ikke kan verifisere hvilken algoritme vi bruker fra F12.
Minifisert JavaScript (som vi bruker for grensesnittet) er derimot reversibel: nettleseren kan reformattere den og kodestrukturen er lesbar. Det er et praktisk hinder, ikke en reell barriere. Men WASM kompilert fra Zig er fundamentalt annerledes
Vi sier at det er Double Ratchet med X25519. Du kan stole på vårt ord, eller du kan vente til vi publiserer kildekoden for krypto-laget slik at hvem som helst kan revidere den. Vi jobber med saken.
Hva vi gjør for at du skal kunne stole mer på oss
Publisere SHA-256 hashene til .wasm-filene
Vi vil publisere det kryptografiske hashet for hver WASM-fil i produksjon. Slik kan enhver revisor bekrefte at den binære filen som kjører i din nettleser tilsvarer nøyaktig den vi kompilerte.
Åpne krypto-laget som åpen kildekode
Publisere kildekoden til krypto-laget (Zig) som et offentlig depot. Samme modell som Signal: åpen kryptografisk protokoll, lukket resten av koden. Hvem som helst vil kunne kompilere kildekoden og sammenligne hashet til den resulterende .wasm-filen med den som er i produksjon.
Sikkerhet avhenger ikke av uklarhet
Vår sikkerhetsmodell er designet for å fungere selv om kildekoden er offentlig. Hvis sikkerheten avhang av at ingen kunne lese koden, ville det ikke vært sikkerhet — det ville vært et håp.
5 dokumenterte sikkerhetslag
Passord (tilgang til server), 24 ord (ekte masternøkkel), enhetshemmelighet (hvelvbeskyttelse) og Double Ratchet-rotasjon. Hvert lag er uavhengig og verifiserbart i vårt Manifest for Åpenhet.