Личное хранилище информации – локальное, зашифрованное

2026-07-03 – Минимум зависимостей, на базе Chromium, легко разворачивается самостоятельно.

Размещённый экземпляр – работает только в Chromium-браузере.

Исходный код - лицензия MIT, открытый код.

TLDR

Идея – личное хранилище информации, которое может целиком жить на твоей машине. Минимум зависимостей, легко хостить самому. Использует нативный File System Access API браузера Chrome для чтения и записи зашифрованных данных.

Реальная мотивация

Мне кажется, мир меняется слишком быстро, как и все наши вещи, документы и т.д. Думаю, разумно иметь хороший цифровой обзор всего, что остаётся в реальном мире (иногда неразобранного, беспорядочного или лежащего в странных местах). Я вряд ли доверил бы кому-то другому хранение таких данных – поэтому вот приложение. Думаю, вариантов использования больше, чем я могу сейчас представить, и это будет не самое удобное из всех приложений – но, по крайней мере, с моей точки зрения оно достаточно безопасно. Если ты в итоге решишь им пользоваться, я буду рад, что кому-то другому не придётся тратить несколько месяцев на обдумывание этой идеи и несколько дней на реализацию.

Q&A

1. Ты сделал это с помощью ИИ?

Да. Идея моя, промпты составлены и доработаны вместе с ИИ, код на 100 % написан ИИ. AGENTS.md, промпты и инструкции – это несколько слоёв в цикле обратной связи человек–ИИ. Я читал markdown-файлы и корректировал (с ИИ) те части, с которыми был не согласен – в основном это касалось формулировок и некоторых функций, от которых я решил отказаться, например обработки вложений. Я также использовал ИИ для тестов (Fable 5): он их прошёл и исправил баги (как найденные им самим, так и те, на которые указал я). На данном этапе написать это без ИИ заняло бы у меня, скорее всего, месяцы – и я бы просто не стал этого делать.

2. Почему не KeePass?

Потому что дело не в паролях. Название «vault» не должно вводить в заблуждение – физически в сейфе можно хранить гораздо больше, чем пароль. Я хотел сделать проект, который:

И я не смог с ходу найти хорошее решение, которому мог бы доверять. Это приложение ближе к Obsidian или Tolaria, но их интерфейс просто содержит слишком много всего, и это меня раздражает. К тому же часть этих решений разрабатывается коммерческими компаниями, они теоретически могут выполнять облачную синхронизацию – а я просто не вижу причин доверять интерактивно сложным системам, которые так или иначе всегда находятся в поле внимания хакеров.

3. Обязан ли я этому доверять? Безопасно ли этим пользоваться?

Нет, не обязан. Стоит проверять всё, что видишь в интернете, особенно если это исходит от незнакомого человека и касается критичной приватной информации. Однако текущая конфигурация позволяет легко проверить, безопасное это решение или нет. Это ванильное HTML/CSS/JS-приложение, оно не зависит от внешних библиотек и легко тестируется. К тому же, если запускать его локально, им можно пользоваться без подключения к интернету, что усложняет доступ к твоим данным.

НО. Поскольку я не знаю твоей конфигурации, запускать его может оказаться небезопасно – несмотря на все мои усилия сделать его более защищённым. Если у тебя стоят браузерные расширения, слабый пароль и ты потеряешь ноутбук, или ты решишь развернуть свой экземпляр в интернете без должной осторожности – тогда неважно, насколько безопасно само приложение: оно будет уязвимо по внешним причинам.

4. Почему только Chrome?

Потому что File System Access API – это фича Chromium; в Firefox и Safari её нет. Я думал о разных кроссплатформенных вариантах и просто решил остановиться на этом. Chrome доступен на всех основных операционных системах, им можно пользоваться офлайн – или же форкнуть репозиторий и переписать под предпочитаемый клиент. Если бы я взял слишком широкий стек технологий, я был бы менее доволен решением, которое пытается охватить всё – потому что операционный риск попросту слишком высок, как и мои затраты на поиск проблем. Это также усложнило бы другим задачу убедиться, что приложением безопасно пользоваться.

5. Проведён ли нормальный аудит?

Нет. Я не планирую проводить (или привлекать) какие-либо аудиты помимо проверок Claude Fable и оставляю это на усмотрение того, кто захочет этим пользоваться. Проведи аудит сам, реши, какие именно пункты вызывают у тебя опасения, и при необходимости разработай исправления. Однако предлагаю начать с docs и security-audit-by-fable, чтобы проверить, не сняты ли уже твои вопросы.

6. Будет ли это поддерживаться вечно?

Не думаю. Надежда в том, чтобы получить одну-единственную версию, настолько хорошую, что она просто работает и не вызывает никаких вопросов. Тем не менее я бы рассматривал приватные сообщения о проблемах безопасности и решал, хочу ли их включить, или предложил бы создать форк. Если увижу, что риск слишком высок, я отключу VPS, на котором работает размещённый экземпляр, и оставлю репозиторий как архив, скорее всего раскрыв найденные проблемы. Поскольку я не собираю email-адреса или данные пользователей, у меня не будет способа сообщить об уязвимостях – а значит, тот, кто это хостит, несёт ответственность за то, чтобы постоянно проверять, по-прежнему ли безопасно этим пользоваться.

Предыстория

Я потерял SIM-карту, которая, как оказалось, торчала в старом телефоне, найденном через три месяца после того, как я деактивировал SIM. Вот и вся предыстория. Я больше не хочу терять SIM-карты :D