iGotTools

Porque é que as ferramentas baseadas no navegador são mais privadas

Uma ferramenta de servidor vê tudo o que cola. Uma de navegador não vê nada. Veja como a execução local protege os seus dados e como verificá-lo.

Porque é que as ferramentas baseadas no navegador são mais privadas

Quando cola um JSON Web Token num descodificador, carrega uma fotografia para remover os seus metadados ou faz o hash de uma cadeia sensível, está a confiar esses dados ao servidor da ferramenta. As ferramentas baseadas no navegador mudam o modelo de confiança: a computação acontece no seu navegador e a sua entrada nunca chega a um servidor que não controla.

O problema de confiança das ferramentas de servidor

Uma ferramenta online tradicional funciona assim: introduz dados, o navegador envia-os para um servidor, o servidor processa-os e devolve o resultado. Isto significa que o servidor vê a sua entrada — cada token que descodifica, cada imagem que carrega, cada cadeia cujo hash calcula. Depende da política de privacidade do operador, da retenção de dados, dos registos e da segurança dele.

Para algumas entradas, isso não importa. Para outras, importa muito: um JWT que está a depurar pode conceder acesso a um sistema de produção, os dados EXIF de uma fotografia podem revelar onde vive, uma cadeia cujo hash está a calcular pode ser um segredo.

Como uma ferramenta de navegador muda o modelo

Uma ferramenta baseada no navegador envia a sua lógica como JavaScript que corre na sua página. Quando fornece a entrada, o processamento acontece nesse JavaScript local — a mesma computação que um servidor faria, mas sem a viagem de rede a transportar os seus dados. A sua entrada fica na memória do seu navegador.

No iGotTools, este é o comportamento predefinido. O Descodificador JWT descodifica tokens localmente, o Visualizador de metadados EXIF lê os metadados das fotografias localmente e o Gerador de hash e checksum calcula os digests localmente. Nenhum deles transmite a sua entrada.

Três ferramentas onde a execução local importa mais

Descodificador JWT

Um JSON Web Token codifica claims que podem incluir IDs de utilizador, âmbitos e prazos de validade. Colar um num descodificador baseado em servidor significa entregar esses claims ao servidor. O Descodificador JWT analisa a estrutura do token e mostra-lhe o cabeçalho e o payload sem nunca enviar o token para lado nenhum.

Visualizador de metadados EXIF

Fotografias de câmaras e telemóveis podem transportar dados EXIF, incluindo coordenadas GPS, números de série do dispositivo e carimbos de data/hora. O Visualizador de metadados EXIF lê esses metadados localmente para que possa rever o que está prestes a partilhar — e removê-los — sem carregar a fotografia.

Gerador de hash e checksum

O hash costuma ser usado para verificar a integridade de ficheiros ou comparar valores sensíveis. O Gerador de hash e checksum calcula digests SHA localmente através de Web Crypto, pelo que a cadeia ou ficheiro cujo hash calcula nunca sai do seu dispositivo.

Como verificar que uma ferramenta não está a carregar dados

Não tem de acreditar numa ferramenta só por ela o dizer. Para confirmar que uma ferramenta processa localmente:

  1. Abra as Ferramentas de programador do navegador e mude para o separador Network.
  2. Utilize a ferramenta com uma entrada de exemplo.
  3. Fique atento aos pedidos a enviar. Uma ferramenta verdadeiramente local não produz nenhum pedido que transporte a sua entrada — apenas os recursos próprios da página são carregados.

Se vir um pedido com a sua entrada no payload, a ferramenta é baseada em servidor, independentemente do que a sua página diga.

O que a execução local não consegue fazer

As ferramentas de navegador não substituem universalmente os servidores. Algumas tarefas são impraticáveis ou impossíveis totalmente num navegador:

  • Tarefas que precisam de dados externos. Procurar um endereço IP público, resolver um registo DNS ou obter um recurso remoto exige, por definição, uma chamada de rede.
  • Computação muito pesada. A transcodificação de vídeos grandes ou tarefas em lote enormes podem esgotar a memória do navegador ou demorar demasiado tempo em dispositivos modestos.
  • Scraping entre origens. Os navegadores bloqueiam pedidos entre origens por defeito, pelo que uma ferramenta que precise de ler outro site não o consegue fazer a partir da sua página sem a cooperação desse site.

Para as tarefas desta caixa de ferramentas, a execução local é tanto mais rápida como mais privada do que um equivalente em servidor.

Perguntas frequentes

«Local» significa que a ferramenta nunca faz qualquer pedido de rede?

Não — a própria página carrega através da rede, e algumas ferramentas chamam legitimamente um endpoint externo específico (por exemplo, o Verificador de IP chama um serviço público de eco de IP para ler o seu endereço público). O ponto-chave é que a sua entrada e saída não são transmitidas. A verificação do separador Network acima mostra isto claramente.

Uma ferramenta de navegador ainda pode vazar dados?

Uma página pode incluir scripts de terceiros (análise, publicidade) que correm junto da ferramenta. As ferramentas reputáveis condicionam a recolha ao consentimento e mantêm os payloads de análise isentos da sua entrada. No iGotTools, a análise nunca inclui a entrada, a saída nem os valores gerados das ferramentas.

O Web Crypto é tão forte quanto o hashing do lado do servidor?

O Web Crypto usa os mesmos algoritmos subjacentes (SHA-256, SHA-384, SHA-512) que usaria num servidor. A força criptográfica é idêntica; a diferença está apenas no local onde a computação decorre.

iGotTools

Comece com esta ferramenta

Começar agoraComeçar agoraComeçar agora