작동 방식

이메일이나 Slack으로 비밀번호를 공유하면 모든 중간자가 읽을 수 있습니다. Secret Drop은 기밀 데이터의 안전한 교환을 보장합니다: 모든 것이 화면을 떠나기 전에 브라우저에서 암호화됩니다. 서버가 받는 것은 노이즈뿐입니다.

당신의 비밀이 보호되는 방법

비밀 작성

브라우저에서 메시지를 입력하거나 파일을 선택합니다.
브라우저에서 암호화

브라우저가 임의의 키를 생성하고 Web Crypto API를 통해 AES-256-GCM으로 콘텐츠를 로컬에서 암호화합니다. 서버는 암호화된 데이터만 받습니다.
서버가 암호문을 저장

서버는 암호화된 데이터만 저장합니다. 키에 접근할 수 없으므로 복호화할 수 없습니다.
키는 URL에 유지

복호화 키는 URL 프래그먼트(# 이후)에 배치됩니다. 이 부분은 브라우저가 서버로 전송하지 않습니다.
수신자가 복호화

수신자가 링크를 열면 브라우저가 암호화된 데이터를 가져오고 URL의 키를 사용하여 로컬에서 복호화합니다.
비밀이 파괴됨

조회 제한에 도달하거나 만료 시간이 지나면 암호화된 콘텐츠는 서버에서 영구적으로 삭제됩니다. 존재의 흔적만 남으며 복호화할 것은 아무것도 없습니다.

보안은 추가된 기능이 아닙니다 — 모든 아키텍처 결정의 기반입니다.

서버는 암호화 키를 받지 않습니다 — OWASP 암호화 저장소 원칙을 준수합니다. 데이터베이스가 침해되어도 공격자가 얻는 것은 무의미한 노이즈뿐입니다. 약속이 아닙니다 — 수학적 불가능성입니다.

일회용 매직 링크가 비밀번호를 대체합니다. 훔치거나 유출하거나 무차별 대입할 대상이 없습니다. 침해된 데이터베이스에서 자격 증명이 노출되지 않습니다 — 애초에 없기 때문입니다.

복호화 키는 URL 프래그먼트(# 뒤)에 있습니다. HTTP 프로토콜 설계상 이 부분은 서버로 전송되지 않습니다 — 요청에도, 로그에도, 어디에도.

읽힌 비밀은 더 이상 존재하지 않습니다. 암호화된 콘텐츠는 서버에서 삭제되며, 존재의 흔적만 남습니다. 만료와 조회 제한으로 노출 시간을 최소한으로 줄입니다.

프랑스에 위치한 인프라로, 유럽연합 관할권이 적용됩니다. 데이터는 GDPR의 보호를 받으며 EU 밖으로 나가지 않습니다. 제3국으로의 이전은 없습니다.

서드파티 쿠키, 추적 픽셀, 외부 서비스를 사용하지 않습니다. 어떤 데이터도 제3자와 공유하지 않습니다. 이 사이트에서의 활동은 프로파일링, 판매 또는 수익화되지 않습니다.