So funktioniert SharePassword
SharePassword ist ein Ende-zu-Ende-verschlüsseltes Werkzeug zum einmaligen Teilen sensibler Informationen. Diese Seite erklärt im Detail, was wir tun — und vor allem, was wir nicht tun.
Was passiert beim Erstellen?
- Ihr Browser erzeugt einen frischen 256-Bit-Zufallsschlüssel über die Web-Crypto-API.
- Ihr Klartext (und ggf. eine oder mehrere Dateien) werden im Browser mit AES-256-GCM verschlüsselt.
- Der Server erhält nur den verschlüsselten Cipher-Block + Metadaten (Ablaufzeit, Hinweistext). Den Schlüssel sieht er nie.
- Der Browser bildet die Link-URL aus zwei Teilen:
https://secret.bytexx.de/s/<token>#<schlüssel>. Der Teil hinter#ist ein URL-Fragment — Browser senden das aus technischen Gründen niemals an Server.
Schutz gegen Missbrauch
- Rate-Limits: 10 POST/Min, 30 GET/Min und 20 Versuche/Min pro IP-Adresse.
- Tageslimit: 24 Geheimnisse pro IP pro Tag.
- Brute-Force-Schutz: Nach 5 falschen Passphrasen wird der Token 15 Minuten gesperrt.
- 25 MB Gesamtlimit pro Geheimnis (alle Dateien + Text zusammen).
- Honeypot gegen automatisierte Bot-Submissions.
- Strikte Content-Security-Policy, HSTS, X-Frame-Options DENY, kein Tracking.
Was passiert beim Abrufen?
- Der Empfänger öffnet die URL. Der Browser holt den Cipher-Block vom Server.
- Der Schlüssel aus dem URL-Fragment entschlüsselt den Cipher-Block lokal im Browser — der Klartext erscheint.
- Ist „Nach erstem Abruf löschen" aktiv, meldet der Browser dem Server: gelesen. Der Eintrag wird sofort aus der Datenbank entfernt.
Was Sie selbst tun können
- Passphrase nutzen, wenn der Link über einen unsicheren Kanal (E-Mail) zum Empfänger geht. Die Passphrase separat übermitteln (Telefon, Signal, Threema).
- Kurze Ablaufzeit wählen. Burn-after-Read aktivieren.
- Vorsicht mit dem Hinweistext für den Empfänger — der ist nicht verschlüsselt.
- Persönliche Anrede in der E-Mail nutzen: in den erweiterten Optionen Ihren Namen und den Namen des Empfängers eintragen — der Empfänger erkennt sofort, von wem die Nachricht kommt, und schenkt ihr mehr Vertrauen.
Welche Daten speichern wir?
| Datenfeld | Form | Lebensdauer |
|---|---|---|
| Verschlüsselter Inhalt | Cipher-Block (für uns unlesbar) | bis Ablauf oder erstem Abruf |
| Hinweistext für den Empfänger | Klartext (sichtbar vor Entschlüsselung) | bis Ablauf oder erstem Abruf |
| Benachrichtigungs-E-Mail (optional) | Klartext (nur für die Mail) | bis Ablauf oder erstem Abruf |
| IP-Adresse | HMAC-SHA-256-Hash mit geheimem Schlüssel | max. 24 h (nur für Brute-Force-Schutz) |
| Klartext-Inhalt / Schlüssel / URL-Fragment | — | wird nie gespeichert oder geloggt |
Open Source & Offene Doku
SharePassword basiert auf Node.js, Fastify, MariaDB und der nativen Web-Crypto-API Ihres Browsers — kein Code, der Schlüssel oder Klartext sieht, läuft auf unserem Server. Wir setzen keine Tracking-Skripte ein und laden keine Inhalte von Drittanbietern (Google Fonts, CDN-JavaScript, etc.).
Der gesamte Quellcode ist öffentlich einsehbar: github.com/devbytexx/SharePassword