Skip to content

安全与隐私

隐私不仅是 Noust 的一项功能,更是整个应用程序的基石。

数据主权

  • 存储引擎:您的笔记存储在 IndexedDB(一种健壮的本地数据库)中。我们保留了一个非持久性的 localStorage 作为备用,以应对 IndexedDB 不可用的罕见情况(例如在限制性的无痕浏览模式下)。
  • 静态加密 (At-Rest):您可以为本地数据库启用 AES-GCM 加密。启用后,您的笔记在保存到浏览器之前会先进行加密,这确保了即使有人提取了您浏览器的数据库文件,在没有您的会话密码的情况下,其内容依然无法被破译。
  • 浏览器隔离:浏览器的同源策略(Same-Origin Policy)会确保您的笔记与其它网站保持完全隔离。

无行为追踪

我们深信您的笔记是完全隐私的。

  • 零追踪:我们不使用任何行为追踪器、会话记录器或营销性 Cookie。
  • 匿名技术日志:与大多数网络服务一样,我们的基础架构(Cloudflare/Firebase)会处理技术日志(如 IP、请求元数据)以用于系统安全和 DDoS 防护。这些日志绝不会用于用户画像或个性化分析。有关数据处理的详细信息,请参阅 Cloudflare 和 Firebase 的隐私政策。

客户端加密

我们的云同步服务使用行业标准的 AES-256-GCM 加密。

  • 零知识:对于我们及我们的服务提供商而言,您的笔记内容是完全无法破译的。
  • 不存储密码:您的密码绝不会传输到我们的服务器上,更不会进行存储。
  • 自定义 salt 盐值支持:对于高级用户,自定义盐值可为加密过程添加额外的熵和控制。有关如何管理它们的详细信息,请参阅同步与存储

可验证的透明度(可审计性)

Noust 的加密云同步存储管理功能完全保持开放,您可以通过浏览器的开发者工具 (F12) 进行手动审计。

  • 数据主权:本地加密 (AES-GCM)、密钥派生 (PBKDF2) 和服务器握手的逻辑均未进行代码混淆。这确保了您可以亲自验证您的主密码(Master Password)绝不会被发送出去,并且所有离开浏览器的海量数据都已处于加密状态。

身份验证

我们使用 Firebase Authentication 来支持 Google 和 GitHub 登录。

  • 这使我们能够安全地管理身份,而无需直接处理您的实际凭证。
  • 您的会话在本地进行管理——我们绝不直接处理您的 Google 或 GitHub 账号密码。
  • 使用这些登录方式需遵循其各自的隐私政策。

基础架构与可靠性

我们的后端由采用 边缘计算 (Edge Computing) 架构的无服务器应用 (Serverless)、全球数据库以及缓存服务组成,以确保高可用性、安全性和极低的延迟。

  • 企业级边缘防护:我们利用 Cloudflare 的 Web 应用防火墙 (WAF)、DNSsec 和先进的 DDoS 缓解技术来保护平台的完整性。
  • 身份管理:我们使用 Firebase Authentication 进行安全登录,确保您的凭证永远不会触及我们自己专有的基础架构。

安全审计

对于高级版计划的用户,Noust 提供了审计日志功能。

  • 透明访问:查看您自己账号的关键操作(登录、Push、Pull 等)。
  • 隐私第一的记录方式:为了保护您的隐私,我们仅记录操作系统和操作类型。

账号删除与数据保留

我们尊重您的“被遗忘权”。为了您的安全,Noust 实施了软删除 (Soft Delete) 政策:

  • 删除确认:删除您的账号需要输入您的昵称后跟 _delete 进行刻意确认。
  • 宽限期:在提交删除申请后,您的账号将被立即暂停且无法访问。您有 30 天的宽限期 可以联系支持团队申请恢复账号。