Vai al contenuto

Come funziona

Quando condividi una password via email o Slack, resta leggibile da tutti gli intermediari. Secret Drop garantisce uno scambio sicuro dei tuoi dati riservati: tutto viene crittografato nel browser prima di lasciare lo schermo. Il server riceve solo rumore.

Come viene protetto il tuo segreto

  1. Scrivi il tuo segreto

    Inserisci il tuo messaggio o selezioni un file nel tuo browser.

  2. Crittografia nel tuo browser

    Il tuo browser genera una chiave casuale e crittografa il contenuto localmente con AES-256-GCM tramite la Web Crypto API. Il server riceve solo dati crittografati.

  3. Il server memorizza dati cifrati

    Il server memorizza solo dati crittografati. Non può decifrarli perché non ha mai accesso alla chiave.

  4. La chiave rimane nell'URL

    La chiave di decrittazione è posizionata nel frammento dell'URL (dopo #). Questa parte non viene mai inviata al server dal browser.

  5. Il destinatario decritta

    Quando il destinatario apre il link, il suo browser recupera i dati crittografati e usa la chiave dall'URL per decrittare localmente.

  6. Il segreto viene distrutto

    Una volta raggiunto il limite di letture o superata la scadenza, il contenuto crittografato viene eliminato permanentemente dal server. Resta solo una traccia della sua esistenza — non c'è più nulla da decifrare.

Secure by design

La sicurezza non è una funzionalità aggiunta — è il fondamento di ogni decisione architetturale.

Zero-knowledge

Il server non riceve mai la chiave di crittografia — secondo i principi di archiviazione crittografica OWASP. Anche se il database viene compromesso, un attaccante ottiene solo rumore inutile. Non è una promessa — è un'impossibilità matematica.

Autenticazione senza password

Un magic link monouso sostituisce la password. Niente da rubare, divulgare o forzare. Un database compromesso non rivela credenziali, perché non ce ne sono.

La chiave non lascia mai il tuo dispositivo

La chiave di decrittazione vive nel frammento dell'URL (dopo il #). Per design del protocollo HTTP, questa parte non viene mai inviata al server — né nelle richieste, né nei log, da nessuna parte.

Distruzione definitiva

Un segreto letto non esiste più. Il contenuto crittografato viene eliminato dal server — resta solo una traccia della sua esistenza. La scadenza e i limiti di lettura riducono la finestra di esposizione al minimo indispensabile.

Ospitato in Francia

Infrastruttura ospitata in Francia, sotto la giurisdizione dell'Unione Europea. I tuoi dati sono protetti dal GDPR e non lasciano mai l'UE. Nessun trasferimento verso paesi terzi, nessuna eccezione.

Nessun tracciamento

Nessun cookie di terze parti, nessun pixel di tracciamento, nessun servizio esterno. Nessun dato viene condiviso con terzi. La tua attività su questo sito non viene profilata, venduta o monetizzata.

Crea un segreto sicuro
Scopri i casi d'uso →