安全宣告

我們的核心設計就是「沒東西可被偷」。所有工具的處理都在你的瀏覽器內完成:

• 53 個工具全部 client-side,檔案 / 文字 / 密碼從未送到伺服器
• 沒有資料庫、沒有使用者帳號、沒有密碼儲存系統
• 沒有金流、沒有付費、沒有訂閱
• 傳輸全程 HTTPS + HSTS,中間人攻擊無法成立

為了完全透明,以下這些資料我們從未也無法取得:

• 你上傳的 PDF / 圖片 / 影片 — 都在你裝置內,沒有任何網路請求送出檔案
• 你輸入的密碼、API key、token、JSON 內容 — 全部 in-browser 處理
• 個資、Email、姓名、IP 位址(Vercel Analytics 預設不記錄 IP)
• Cookie 只有 theme 偏好(dark / light),沒有任何識別追蹤

本站使用的所有第三方:

• Vercel Analytics + Speed Insights — 純頁面瀏覽量統計,不含 IP / 不含個資
• bundlephobia.com(僅 bundle-size 工具) — 你查詢的 npm 套件名會送到他們的公開 API
• OpenAI / Anthropic / Google API(僅 md-translate 工具) — 用你自己的 API key,呼叫直接從瀏覽器發,我們完全不經手

為了避免 tw-test-data(台灣身分證 / 信用卡號產生器)被濫用,加了密碼門檻 + 3 次失敗 IP ban + Telegram 通知。HMAC-signed cookie 走 WebCrypto,密碼用環境變數儲存。即便這個區塊被攻破,駭客拿到的也只是 fake 測試資料,沒有實質損失。

整個專案的程式碼公開於 GitHub,你可以親自驗證上面說的每一條: github.com/MarkwwLiu/dev

如果你發現安全漏洞,請透過 GitHub Security Advisory 私下通報,我們會盡快回應。請不要公開 issue / PR 揭露(避免被惡意利用)。

→ 私下通報漏洞(GitHub Security Advisory)