Can Vaulted read my secrets?

No. Encryption happens in your browser before anything leaves your device. The AES-256-GCM key lives only in the URL fragment (after the #), which browsers never send to the server. We see ciphertext, expiry, and view count — never plaintext, never the key.

What is logged or stored on the server?

We store only the encrypted ciphertext, optional wrapped passphrase salt, the view counter, and the expiry timestamp — keyed by a random secret ID. No user accounts, no IP logging tied to secrets, no plaintext, no decryption keys. Vercel and Upstash logs are kept for operational purposes only.

What happens if someone intercepts the link?

They can decrypt the secret, just like the intended recipient — that is why view limits and expiration matter. For higher-risk secrets, add a passphrase: the encryption key is then wrapped with PBKDF2, so the link alone is useless without the passphrase shared through a separate channel.

Is the encryption protected against quantum computers?

AES-256-GCM is considered post-quantum secure for symmetric encryption — Grover’s algorithm only halves the effective key strength, leaving 128-bit security. The key derivation (PBKDF2) and key exchange (the URL fragment itself) are not affected by quantum attacks because no key exchange takes place over the network.

How do I report a security issue?

Email security@vaulted.fyi with details. We run a responsible disclosure program with a defined response timeline — see the bounty program for scope and rewards. Please do not file public GitHub issues for vulnerabilities.

Vaulted'da Güvenlik

Sıfır bilgi şifrelemesi — istesek bile gizli bilgilerini okuyamayız.

Geliştiren ve bakımını üstlenen Maxim Novak · [email protected]

Bize güvenme — kendin doğrula

Bu sayfadaki her iddia kendi tarayıcından gözlemlenebilir. DevTools'u aç, dört kısa test çalıştır ve hiçbir düz metnin veya anahtarın ağı geçmediğini doğrula. Beş dakika, kurulacak araç yok.

5 dakikalık denetimi başlat →Tehdit modeli Bug bounty

Security HeadersA+Mozilla ObservatoryA+SSL LabsA+Canlı üçüncü taraf taramaları — doğrulamak için tıkla.

AES-256-GCM şifrelemesi

Her gizli bilgi, NIST SP 800-38D'de belirtildiği üzere AES-256-GCM kullanılarak tarayıcında şifrelenir — dünya genelinde hükümetler ve finansal kurumlar tarafından kullanılan aynı standart. Herhangi bir veri cihazını terk etmeden önce şifreleme gerçekleşir.

Anahtar tarayıcını hiç terk etmez

Şifreleme anahtarı URL fragment'ına yerleştirilir (# sonrasındaki kısım). RFC 3986 uyarınca URL fragment'ları sunucuya hiçbir zaman gönderilmez — yalnızca tarayıcında mevcutturlar. Tam bağlantıya sahip yalnızca biri gizli bilgiyi çözebilir.

Sıfır bilgi mimarisi

Sunucumuz yalnızca şifreli metin ve meta veri (görüntüleme sayısı, son kullanma süresi) depolar. Verilerini çözme yolumuz yok — anahtarı ve düz metni asla görmeyiz. Sunucunun tamamen ele geçirilmesi bile yalnızca şifreli bloblar verir.

İsteğe bağlı parola ifadesi koruması

Ek güvenlik için bir gizli bilgi oluştururken parola ifadesi belirleyebilirsin. Parola ifadesi şifreleme anahtarını sarar — biri bağlantıyı ele geçirse bile, onu olmadan gizli bilgiyi çözemez. Maksimum koruma için parola ifadesini farklı bir kanaldan paylaş (telefon görüşmesi veya ayrı mesaj gibi).

Sunucunun depoladıkları

Şifreli bir blob, kalan görüntüleme sayısı ve bir son kullanma zaman damgası. Hepsi bu. IP günlüğü yok, kullanıcı hesabı yok, gizli içerik analizi yok.

Otomatik silme

Gizli bilgiler, görüntüleme limiti dolduğunda veya son kullanma süresi geçtiğinde kalıcı olarak silinir. Geri dönüşüm kutusu yok, yedek yok, silinen gizli bilgileri kurtarmanın yolu yok.

Tasarım gereği açık

Şifreleme ve şifre çözme mantığı tamamen tarayıcında Web Crypto API kullanılarak çalışır. Kaynak kodunu inceleyebilir, kriptografik uygulamayı doğrulayabilir ve hiçbir düz metnin cihazını terk etmediğini onaylayabilirsin.

Vaulted'ın koruduğu şeyler

Ağ dinleme

Tüm veriler iletimden önce tarayıcında şifrelenir. Ağ trafiği ele geçirilse bile, saldırganlar yalnızca AES-256-GCM şifreli metnini görür — şifreleme anahtarı hiçbir zaman ağı geçmez.

Sunucu ele geçirme

Vaulted sıfır bilgi mimarisi kullanır. Sunucu yalnızca şifreli metin ve meta veri depolar. Şifreleme anahtarını veya düz metni hiçbir zaman almaz; dolayısıyla tam sunucu ihlali işe yarar hiçbir şey vermez.

Yetkisiz erişim

Gizli bilgiler yapılandırılabilir görüntüleme limitleri, otomatik son kullanma (TTL) ve isteğe bağlı parola ifadesi korumasıyla güvence altına alınır. Görüntüleme limitine ulaşıldığında veya TTL dolduğunda, gizli bilgi kalıcı olarak silinir.

Veri kalıcılığı

Gizli bilgiler, tüketildiğinde veya süresi dolduğunda depolama alanından otomatik ve kalıcı olarak silinir. Yedek, geri dönüşüm kutusu veya kurtarma mekanizması yoktur.

Vaulted'ın KORUMADIKLARI

Ele geçirilmiş tarayıcı veya cihaz

Kötü amaçlı yazılım tarayıcına erişebiliyorsa, gizli bilgiyi görüntüledikten sonra DOM'dan çözülmüş içeriği okuyabilir.

Keylogger'lar

Gönderenin veya alıcının cihazındaki bir keylogger, yazılırken parola ifadesini yakalayabilir.

Kötü amaçlı tarayıcı uzantıları

DOM erişimi olan uzantılar, tarayıcıda render edildikten sonra çözülmüş gizli içeriği okuyabilir.

Alıcının paylaşması veya ekran görüntüsü alması

Gizli bilgi çözüldükten sonra alıcı düz metni görür. DRM yoktur — kopyalayabilir, ekran görüntüsü alabilir veya paylaşabilir.

Görüntülemeden önce bağlantının ele geçirilmesi

Hedeflenen alıcı açmadan önce tam URL (anahtarı içeren fragment dahil) ele geçirilirse, gizli bilgi tehlikeye girer.

Zayıf parola ifadeleri

Parola ifadesi kullanılıyorsa ve zayıfsa, sarmalanmış anahtara erişimi olan bir saldırgan kaba kuvvetle kırabilir.

Mahkeme celbiyle neler verilebilir

Güvenlik ve hukuk ekiplerinden sık sorulan bir soru: yasal bir zorunluluk halinde Vaulted gerçekte ne verebilir? Dürüst yanıt "çok fazla değil" — ve bu politika değil, tasarım gereğidir. Hiç almadığımızı paylaşamayız.

Belirli bir gizli bilgi için sakladıklarımız

AES-256-GCM şifreli metin, kalan görüntüleme sayacı ve TTL zaman damgası — Upstash'ta Redis hash olarak depolanmış.
Gönderici parola ifadesi seçtiyse isteğe bağlı sarmalanmış anahtar salt'ı.
Yukarıdakilerin tamamı, TTL dolduğunda veya maksimum görüntülemeye ulaşıldığında otomatik olarak temizlenir. Yedek yok, arşiv yok.

Hiçbir zaman depolanmayan veya günlüklenmeyen

Düz metin içerik.
Şifreleme anahtarı — yalnızca URL fragment'ında yaşar (bundan sonraki kısım: #), RFC 3986 uyarınca tarayıcılar tarafından sunucuya gönderilmez.
Parola ifadeleri (yalnızca geri döndürülemez bir salt depolanır).
Alıcı kimliği, e-posta veya cihaz parmak izi.
İstek gövdeleri, yanıt gövdeleri veya yönlendirici başlıkları.

Kısaca günlüklenenler

İstek sahibinin IP'si, yalnızca IP başına 10 oluşturma/dk ve 30 görüntüleme/dk uygulamak için Upstash Ratelimit (kayan pencere) tarafından kullanılır. Yalnızca hız limiti penceresi gerektirdiği kadar saklanır.
Vercel ve Upstash'tan standart operasyonel günlükler (durum kodları, gecikmeler) — gizli içerikle ilişkilendirilmemiş.

Geçerli bir süreçle kolluk kuvvetlerinin elde edebilecekleri

En fazla: hâlâ TTL penceresi içindeyken opak bir şifreli metin blobu, artı yukarıdaki meta veriler. Blob, şifre çözme anahtarı olmadan okunamaz — biz hiçbir zaman sahip olmadık ve kurtarmanın yolu yok.

Gerçekten teslim edecek işe yarar hiçbir şeyimiz yok.

Sorumlu Açıklama

Güvenliği ciddiye alıyoruz. Bir güvenlik açığı keşfedersen, kullanıcıları etkilemeden önce ele alabilmemiz için lütfen sorumlu bir şekilde bildir.

Rapora dahil edilmesi gerekenler

Güvenlik açığının açıklaması ve olası etkisi
Sorunu yeniden üretme adımları
Varsa kavram kanıtı kodu veya ekran görüntüleri

Kapsam

Kapsam dahilinde: şifreleme uygulaması, kimlik doğrulama atlatma, veri sızıntısı, sunucu tarafı güvenlik açıkları
Kapsam dışında: sosyal mühendislik, hizmet reddi, spam

Raporları 48 saat içinde onaylamayı hedefliyoruz.

[email protected]Tam bounty politikası & Hall of Fame

Uygulamada görmek ister misin?

Şifreleme Oyun Alanı'nı dene — Vaulted'ın kullandığı AES-256-GCM şifrelemesinin interaktif demosu. Ya da uçtan uca şifreleme görsel rehberimizi.

Sık sorulan sorular

Gizli bilgi paylaş →