Информация на сервер передаётся только в зашифрованном виде, без ключей расшифровки.
Ключ хранится внутри вашей ссылки после символа #. Его видят только вы и
код этой страницы — на сервер он не попадает.
Как убедиться в этом самостоятельно:
- Нажмите
F12 в браузере (или Cmd+Opt+I на Mac) — откроются инструменты разработчика.
- Перейдите во вкладку Network.
- Создайте записку.
- В списке запросов найдите
POST /api/notes. Кликните по нему и откройте вкладку Payload или Request.
- Вы увидите, что на сервер уходит только поле
ciphertext — бессмысленный набор символов, и iv. Текста вашей записки и ключа там нет.
- Посмотрите на URL готовой ссылки: всё, что после
#, — это ключ. По стандарту HTTP эта часть никогда не отправляется на сервер.
Исходный код открыт
Каждый может проверить, что клиент делает именно то, что заявлено:
Ссылка на исходный код проекта в GitHub.