1. 我们采集什么
当你访问 toolora.info 的任一页面,我们的服务器会记录:
- 访问 IP 的哈希值。原始 IP 在落盘前用 SHA-256 + 每日轮换的 salt 哈希,只存哈希。哈希值滚动保留 30 天后整批删除。我们没有能力把哈希反推回原始 IP。
- 推断的地理位置:国家 / 省 / 市 / 大致经纬度。来源是把你的 IP 抛给 ip-api.com 的免费查询接口,我们只存返回的地理字段,不带任何用户标识。
- 设备类型:desktop / mobile / tablet。从 User-Agent 字符串里粗分,不做指纹追踪。
- 页面路径与来源:你访问了哪个 URL,referrer 头里写的上一个站点是谁。
- 工具被打开的事件:仅记录 "工具 X 在 T 时刻被打开" —— 不记录你在工具里输入的任何内容、输出、参数选择。
2. 我们绝不采集
- 你在工具里输入的任何内容。JSON、CSS、密码、文本、文件、图片 —— 所有处理都在你浏览器的 JS 里完成,我们的服务器永远见不到。打开浏览器开发者工具的 Network 面板自己确认。
- 邮箱、姓名、手机号、账号。Toolora 没有注册系统,也没有"创建账户"按钮。如果你主动发邮件来,我们才会有你的邮箱 —— 而且只用于回信。
- 追踪 cookie。我们只用功能性的 localStorage 存你的主题(深色/浅色)和语言偏好。没有 Google Analytics,没有 Facebook Pixel,没有任何广告网络,没有跨站追踪像素。
- 生物特征、地址、支付信息。我们没有交易系统。
3. 第三方服务清单
Toolora 在服务端只接触三个外部方,全部列在下面:
- Hostinger —— 服务器托管商。Nginx 访问日志在服务器层面常规写入(包含原始 IP),我们的应用读取后立即哈希,原始日志按 Hostinger 默认轮转策略 7 天滚动覆盖。
- ip-api.com —— IP 转地理位置。只发送 IP 字符串,不发任何用户标识。请求是从我们服务器发的,不是从你浏览器,所以 ip-api.com 看到的是我们的服务器 IP,不是你的浏览习惯。
- Resend(仅当你给我们发反馈邮件时)—— 用来回信的邮件服务。
没了。没有广告网络,没有社交插件,没有 CDN 上的字体追踪,没有 Hotjar / Mixpanel / Amplitude / Sentry / LogRocket / 等等。
4. 你的权利
遵守 GDPR 与 CCPA 的精神,即使你不在欧盟或加州:
- 访问 / 删除:发邮件到 lilei961112@gmail.com,告诉我们你大致访问的时段和你认为的 IP 网段。我们会在 30 天内把对应记录删除并回复你。说明:因为 IP 已哈希,我们没法精确定位"只属于你"的记录,删除是按时间窗口批量进行。
- 禁用 cookie:在浏览器里禁用 toolora.info 的 localStorage 即可。功能不会断,只是每次访问主题和语言会回到默认。
- 用 VPN / Tor:完全可以。我们不试图穿透代理,不做指纹识别,也不会因为你用了代理就拒绝服务。
5. 儿童
Toolora 不是面向 13 岁以下儿童的产品,也不会主动收集任何被我们识别为儿童的信息。如果你是家长,发现孩子用了 Toolora 并希望删除相关记录,按上一条联系我们即可。
6. 政策变更
如果政策有实质性改动(例如加入新的第三方),我们会在 toolora.info 首页和这页顶部放 30 天的提示横幅,提前告知。生效日期会更新,我们不会偷偷改了就算。
7. 联系
有任何疑问、投诉、纠错,或者想看我们后端的具体日志哈希逻辑,直接邮件 lilei961112@gmail.com。本人(李雷)看邮箱,回邮件,不挡 PR。