Vertrauen Sie uns nicht. Prüfen Sie es nach.
Redactor hat genau eine Aufgabe: Ihre Secrets und personenbezogenen Daten bleiben auf Ihrem Mac. Deshalb bitten wir Sie nicht um Vertrauen, sondern legen alles offen, damit Sie es selbst prüfen können. Auf dieser Seite lesen Sie, wie Redactor gebaut ist, was mit Ihren Daten geschieht und wie Sie jedes Release eigenhändig verifizieren. Das schreiben unsere Entwickler selbst — es ist kein Audit durch Dritte (ein unabhängiges Audit steht auf unserer Roadmap, siehe unten).
Was Redactor garantiert
100 % lokal
Redactor erkennt und schwärzt komplett auf Ihrem Mac — kein Konto, keine Telemetrie, Ihre Inhalte verlassen das Gerät nie. Die einzige offene Verbindung ist ein optionaler Loopback zu einem lokalen Ollama-Modell, und das bekommt ausschließlich bereits geschwärzten Text zu sehen.
Kein Secret bleibt zurück
Zwischenablage und geschwärzte Inhalte landen nie auf der Festplatte, in Logs oder in den Einstellungen. Die Zuordnungstabelle liegt ausschließlich im Arbeitsspeicher. Das optionale Audit-Log speichert nur Kategorie-Zähler und Zeitstempel — nie die Werte selbst.
Deterministisch & umkehrbar
Dieselbe Eingabe ergibt immer dieselbe Ausgabe, Byte für Byte. 265 Detektoren, jeder per Prüfsumme und Entropie validiert. Und jede Schwärzung nehmen Sie über die Zuordnungstabelle im Arbeitsspeicher wieder zurück.
Kopierter Text kann Redactor nichts anhaben
Die einzige Eingabe, der Redactor nicht traut, ist beliebig kopierter Text — und der bleibt harmlos. Keine Shell-Injection (Subprozesse laufen über Argument-Arrays, nie über eine Shell), Netzwerk nur über Loopback, alle Regeln gegen ReDoS gehärtet.
Wie wir Redactor bauen & ausliefern
Jedes Release prüfen Sie unabhängig nach — die genauen Befehle stehen auf der Download-Seite.
- Mit Developer-ID signiert & von Apple notarisiert, Hardened Runtime, angeheftetes Ticket — Gatekeeper prüft das schon beim ersten Start.
- Signierte automatische Updates. Die Enclosures des Sparkle-Appcasts sind EdDSA-signiert; die App prüft jede einzelne gegen einen fest hinterlegten öffentlichen Schlüssel, bevor sie sie installiert.
- Veröffentlichte SHA-256-Prüfsummen für jedes Release unter
/releases/SHA256SUMS. - Fest gepinnte Abhängigkeiten. Sparkle beziehen wir über eine verifizierte SHA-256; die Erkennungsregeln hängen an einem festen gitleaks-Commit.
- Eine CI, die nichts durchgehen lässt. Jeder Detektor muss unter ICU kompilieren und positive wie negative Testvektoren bestehen; ein Präzisions-Audit und ein ReDoS-Harness fangen Regressionen bei jeder Änderung ab.
Ihre Daten
- Die Zuordnungstabelle (Token → Original) liegt nur im Arbeitsspeicher; die App schreibt sie nie auf die Festplatte. Die CLI legt sie nur an, wenn Sie
--map FILEübergeben — behandeln Sie diese Datei als vertraulich und löschen Sie sie, sobald Sie die Werte zurückgeholt haben. - Das Audit-Log ist optional und speichert nur Kategorie-Zähler, Zeitstempel und die Oberfläche, aus der der Fund stammt — nie die erkannten Werte und keinen Text.
- Das optionale lokale LLM erhält über Loopback an
127.0.0.1:11434ausschließlich bereits geschwärzten Text. Es kann nur weitere Tokens ergänzen — einen echten Wert bekommt es nie zu Gesicht.
Sicherheitslücke melden
Sie haben eine Sicherheitslücke gefunden? Sagen Sie uns Bescheid. Melden Sie sie bitte vertraulich und geben Sie uns angemessen Zeit, sie zu beheben, bevor Sie an die Öffentlichkeit gehen. Bitte keine echten Secrets in Ihrer Meldung.
- Schreiben Sie an kontakt@zerodotfive.com mit dem Betreff „Redactor security“. In der Regel antworten wir innerhalb weniger Werktage.
- Maschinenlesbare Policy: /.well-known/security.txt (RFC 9116).