Ir para o conteúdo

Como funciona

Quando você compartilha uma senha por e-mail ou Slack, ela permanece legível por todos os intermediários. O Secret Drop garante uma troca segura dos seus dados confidenciais: tudo é criptografado no navegador antes de sair da tela. O servidor recebe apenas ruído.

Como seu segredo é protegido

  1. Você escreve seu segredo

    Você digita sua mensagem ou seleciona um arquivo no seu navegador.

  2. Criptografia no seu navegador

    Seu navegador gera uma chave aleatória e criptografa o conteúdo localmente com AES-256-GCM via a Web Crypto API. O servidor recebe apenas dados criptografados.

  3. Servidor armazena dados criptografados

    O servidor armazena apenas dados criptografados. Não pode descriptografá-los porque nunca tem acesso à chave.

  4. A chave fica na URL

    A chave de descriptografia é colocada no fragmento da URL (após #). Esta parte nunca é enviada ao servidor pelo navegador.

  5. O destinatário descriptografa

    Quando o destinatário abre o link, seu navegador busca os dados criptografados e usa a chave da URL para descriptografar localmente.

  6. O segredo é destruído

    Quando o limite de leituras é atingido ou a expiração passa, o conteúdo criptografado é permanentemente excluído do servidor. Apenas um rastro de sua existência permanece — não há nada para descriptografar.

Secure by design

A segurança não é uma funcionalidade adicionada — é a base de cada decisão arquitetural.

Conhecimento zero

O servidor nunca recebe a chave de criptografia — seguindo os princípios de armazenamento criptográfico OWASP. Mesmo com o banco de dados comprometido, um invasor obtém apenas ruído inútil. Não é uma promessa — é uma impossibilidade matemática.

Autenticação sem senha

Um magic link de uso único substitui a senha. Nada para roubar, vazar ou forçar. Um banco de dados comprometido não revela credenciais, porque não existem.

A chave nunca sai do seu dispositivo

A chave de descriptografia vive no fragmento da URL (depois do #). Por design do protocolo HTTP, essa parte nunca é enviada ao servidor — nem em requisições, nem em logs, em lugar nenhum.

Destruição definitiva

Um segredo lido deixa de existir. O conteúdo criptografado é excluído do servidor — apenas um rastro de sua existência permanece. A expiração e os limites de leitura reduzem a janela de exposição ao mínimo estrito.

Hospedado na França

Infraestrutura hospedada na França, sob jurisdição da União Europeia. Seus dados são protegidos pelo RGPD e nunca saem da UE. Sem transferência para países terceiros, sem exceção.

Sem rastreamento

Sem cookies de terceiros, sem pixels de rastreamento, sem serviços externos. Nenhum dado é compartilhado com terceiros. Sua atividade neste site não é perfilada, vendida ou monetizada.

Criar um segredo seguro
Descobrir casos de uso →