メールやSlackでパスワードを共有すると、すべての中継者が読める状態のままです。Secret Dropは機密データの安全な受け渡しを実現します:すべてがブラウザで暗号化されてから画面を離れます。サーバーが受け取るのはノイズだけです。
あなたの秘密がどう守られるか
-
秘密を書く
ブラウザでメッセージを入力するか、ファイルを選択します。
-
ブラウザで暗号化
ブラウザがランダムな鍵を生成し、Web Crypto APIを通じてAES-256-GCMでコンテンツをローカルで暗号化します。サーバーは暗号化されたデータのみを受け取ります。
-
サーバーが暗号文を保存
サーバーは暗号化されたデータのみを保存します。鍵にアクセスできないため、復号化できません。
-
鍵はURLに残る
復号化鍵はURLフラグメント(#の後)に配置されます。この部分はブラウザからサーバーに送信されません。
-
受信者が復号化
受信者がリンクを開くと、ブラウザが暗号化されたデータを取得し、URLの鍵を使用してローカルで復号化します。
-
シークレットが破棄される
閲覧制限に達するか有効期限が過ぎると、暗号化されたコンテンツはサーバーから完全に削除されます。存在の痕跡だけが残り、復号するものは何もありません。
Secure by design
セキュリティは追加機能ではありません — すべてのアーキテクチャ決定の基盤です。
ゼロナレッジ
サーバーは暗号化キーを受け取りません — OWASPの暗号化ストレージ原則に準拠しています。データベースが侵害されても、攻撃者が得るのは無意味なノイズだけです。これは約束ではなく、数学的な不可能性です。
パスワード不要の認証
使い捨てマジックリンクがパスワードに代わります。盗むもの、漏洩するもの、総当たりする対象がありません。侵害されたデータベースから認証情報は漏れません — そもそも存在しないからです。
鍵はデバイスから出ません
復号キーはURLフラグメント(#の後)に存在します。HTTPプロトコルの設計上、この部分はサーバーに送信されません — リクエストにもログにもどこにも。
完全な破棄
読まれたシークレットはもう存在しません。暗号化されたコンテンツはサーバーから削除され、存在の痕跡だけが残ります。有効期限と閲覧制限により、露出時間を最小限に抑えます。
フランス国内で運用
インフラはフランス国内に設置され、欧州連合の法律が適用されます。データはGDPRにより保護され、EU域外に出ることはありません。第三国への移転は一切行いません。
トラッキングなし
サードパーティCookie、トラッキングピクセル、外部サービスは一切使用していません。データが第三者に共有されることはありません。このサイトでの行動がプロファイリング、販売、収益化されることはありません。