2 dakikada doğrulayın
Tarayıcınızda F12'ye basın. Hiçbir şey kurmadan. Programlama bilmeden.
| İddia | Nasıl doğrulanır | Sekme |
|---|---|---|
| Hiçbir türde çerez yok | Application → Cookies → boş. Solo2 hiçbir çerez yüklemez. Oturumun localStorage'da sürdürülür, çerezlerde değil. _ga |
Application |
| Uygulamada üçüncü taraf hizmeti yok | Network → alan adına göre filtreleyin → yalnızca solo2.net |
Network |
| Analitik yalnızca tanıtım sayfasında, uygulamada değil | Network → /* |
Network |
| Geçmişiniz tarayıcınızda yaşar | Application → IndexedDB → solo2-vault-{userId} |
Application |
| Kişi listesi yalnızca yerel | Application → IndexedDB → store pares |
Application |
| Harici CDN yok | Network → tüm JS/CSS aynı alan adından yüklenir. cdn.jsdelivr.net |
Network |
| Oturumlar en fazla 24 saat | Application → localStorage → solo2_session |
Application |
| Hangi bağlantı türünü kullandığınızı görebilirsiniz | Sohbet arayüzünde: P2P (yeşil) vs Mirror/TURN (turuncu) göstergesi her zaman görünür | UI |
| Umami çerezsizdir | Application → Cookies → stats.menzuri.com |
Application |
| Ana anahtarınız rastgele üretilir | Application → kayıt olduğunuzda Solo2, 24 benzersiz kelime üretir. Şifrenizden türetilmezler — 256 bit gerçek entropiye sahip bağımsız bir anahtardır | Application |
DevTools kullanmayı biliyorsanız
Teknik bilgi gerektiren doğrulamalar. HTTP, WebRTC ve temel kriptografiyi anlıyorsanız bu iddiaları onaylayabilirsiniz.
| İddia | Nasıl doğrulanır |
|---|---|
| E2E şifreli mesajlar | Network → /cmd |
| E2E şifreli WebRTC sinyalleri | Network → sinyal mesajları şifreli ikili blob'lar olarak iletilir. offer |
| Ana anahtar şifreden bağımsız | Network → giriş yapıldığında bir wrapped_master_key |
| Aynada tekdüze dolgu | Network → relay kullanıldığında WebSocket/DataChannel paketleri sabit boyutludur. Network sekmesinde boyutları inceleyin |
| Şifre korumalı (düz metin olarak gönderilmez) | Network → giriş bir hash gönderir, düz metin değil. Sunucunun hangi algoritmayı (Argon2id) kullandığını doğrulayamazsınız, ancak orijinal şifrenizin asla tarayıcıdan çıkmadığını doğrulayabilirsiniz |
| Bağlantı talepleri 3 günde sona erer | Bir talep oluşturun, yanıt vermeyin, 3 gün sonra kaybolduğunu doğrulayın. Sabır ve iki hesap gerektirir |
| Şifreli push bildirimleri | Network → Service Worker'a giden push istekleri şifreli olarak gelir (Web Push standardı). Network sekmesinde şifreli yükü görebilirsiniz |
| Doğrudan P2P bağlantı vs relay | chrome://webrtc-internals/ |
Bunu doğrulayamazsınız
Her şeyin doğrulanabilir olduğunu söylesek ikiyüzlülük olurdu. Bu iddialar bize güvenmenizi — ya da kodu yayınlamamızı beklemenizi — gerektirir.
| İddia | Neden doğrulanamaz |
|---|---|
| Anahtar rotasyonlu Double Ratchet | Kriptografik işlemler bir WASM ikili dosyası içinde gerçekleşir. Kullanıcı yüklendiğini görür, ancak hangi algoritmayı çalıştırdığını okuyamaz |
| Ana anahtar gerçek entropi (256 bit) ile üretilir | Üretim tarayıcıdaki crypto.getRandomValues'ı kullanır. 24 kelimenin üretildiğini görebilirsiniz, ancak F12'den entropinin kalitesini veya CSPRNG'nin güvenli olup olmadığını doğrulayamazsınız |
| X25519 + Ed25519 + ChaCha20-Poly1305 | Aynı sorun: kriptografik yığın WASM içindedir. Eğriler ve algoritmalar tarayıcıdan doğrulanamaz |
| Sunucu "tamamen kör"dür | İstemcinin okunabilir veri göndermediğini doğrulayabilirsiniz. Sunucunun bağlantı üstverileriyle (IP'ler, zaman damgaları) ne yaptığı güven veya sunucu denetimi gerektirir |
| Sunucu bağlantıdan sonra ilişkileri saklamaz | Sunucunun koduna ve veritabanına erişim gerektirir |
| IP'ler kayıt altına alınmaz | Sunucunun loglarında ne kaydettiğini doğrulayamazsınız |
| Anahtarlar her mesajda döner | WASM içinde gerçekleşir. Mesaj gönderildiğini görürsünüz, ancak anahtar rotasyonunu gözlemleyemezsiniz |
| Silinen veriler gerçekten yok olur | Yerel IndexedDB'den silebilirsiniz, ancak sunucunun kopya tutup tutmadığını doğrulayamazsınız (Manifesto'nun hiçbir zaman tutmadığını söylemesine rağmen) |
WASM neden gerçek bir bariyer
Solo2'nun kriptografik katmanı WebAssembly'ye derlenmiştir — tarayıcınızın çalıştırdığı ancak metin olarak okuyamadığınız ikili bir format. Bu, F12'den hangi algoritmayı kullandığımızı doğrulayamayacağınız anlamına gelir.
Küçültülmüş JavaScript (arayüz için kullandığımız) tersine çevrilebilir: tarayıcı yeniden biçimlendirebilir ve kodun yapısı okunabilir. Bu pratik bir engel, gerçek bir bariyer değil. Ancak Zig'den derlenen WASM temelden farklıdır
X25519 ile Double Ratchet kullandığımızı söylüyoruz. Sözümüze güvenebilirsiniz veya herkesin denetleyebilmesi için kripto katmanının kaynak kodunu yayınlamamızı bekleyebilirsiniz. Bunun üzerinde çalışıyoruz.
Daha fazla güvenmeniz için ne yapıyoruz
.wasm dosyalarının SHA-256 hash'lerini yayınlamak
Üretimdeki her WASM dosyasının kriptografik hash'ini yayınlayacağız. Böylece herhangi bir denetçi, tarayıcınızda çalışan ikili dosyanın derlediğimiz dosyayla tam olarak eşleştiğini doğrulayabilecek.
Kripto katmanını açık kaynak olarak yayınlamak
Kriptografik katmanın (Zig) kaynak kodunu açık depo olarak yayınlamak. Signal ile aynı model: açık kriptografik protokol, kodun geri kalanı kapalı. Herkes kaynak kodunu derleyip ortaya çıkan .wasm hash'ini üretimdekiyle karşılaştırabilecek.
Güvenlik belirsizliğe bağlı değil
Güvenlik modelimiz, kaynak kod herkese açık olsa bile çalışacak şekilde tasarlanmıştır. Güvenlik kimsenin kodu okuyamamasına bağlı olsaydı, bu güvenlik değil — umut olurdu.
Belgelenmiş 5 güvenlik katmanı
Şifre (sunucu erişimi), 24 kelime (gerçek ana anahtar), cihaz sırrı (kasa koruması) ve Double Ratchet rotasyonu. Her katman bağımsızdır ve Şeffaflık Manifestomuzda doğrulanabilir.