「隐私友好」这个词出现在你遇到的大约一半的网络工具上。没有一个能在不依赖你永远读不完的隐私政策的前提下证明这一点。开源改变了这一切。当源代码公开、工具在浏览器中运行时,这个声明就变得可以被审计了。这不是小事。
登录墙背后隐藏的本质:它很少关乎安全,更多的是关于数据。你的邮箱地址有价值。你的使用习惯有价值。构建这些工具的公司有商业模式,即便工具本身是免费的,你也在用行为数据支付——这些数据被打包用于广告投放、出售,或用于训练 AI 模型。注册表单正是这笔交易的起点。
开源的无需登录工具完全颠覆了这一切。没有账号,没有服务器接收你的数据,而且——关键是——代码是你或你信任的人可以实际阅读的,验证没有任何猫腻。
为什么「开源」是无需登录等式的另一半
跳过注册表单是必要的,但还不够。一个不要求登录的闭源工具仍然可以发出网络请求来记录你的行为、指纹识别你的浏览器,或者悄悄上传你的文件。你无法验证它是否做了这些事。
开源意味着代码公开可查(通常在 GitHub 上),任何人都可以检查、审计,或在有所变化时提出问题。从隐私角度来看,开放源代码促进会的定义要求源代码可自由获取、可再分发、可修改——这意味着如果工具某天加入了追踪功能,有人会注意到并提 issue。
真正重要的组合:开源 + 客户端处理 + 无需登录。缺少其中任何一个,你就只能相信营销文案了。
“只要足够多的眼睛在看,所有的漏洞都是浅层的。“——Eric S. Raymond,《大教堂与集市》。同样的原则适用于隐私侵犯。公开的代码会受到闭源代码永远无法获得的审视。
nologin.tools 收录的工具正是针对这些标准进行核查的——客户端处理、没有隐藏的网络请求、没有注册墙。其中的开源工具更进一步,因为它们的架构是公开可验证的。
你可以读源码的开发者工具
Excalidraw 可能是现存使用最广泛的开源无需登录工具。GitHub 仓库拥有超过 90,000 个 Star。打开它,画个图,你的数据留在浏览器里(本地存储)。实时协作是可选的,基于会话——默认情况下没有服务器保存你的草图。查看 Excalidraw 的列表页了解完整功能,但重点在于它的架构:客户端优先是设计原则,不是事后的营销说辞。
Hoppscotch 是 Postman 的无需登录替代品。无需创建账号即可测试 REST、GraphQL、WebSocket 和 SSE 端点。它是开源的(MIT 许可),所有操作都在浏览器中完成——你的 API 请求直接从浏览器发送到目标端点,不经过 Hoppscotch 的服务器。这很重要,尤其是当你测试内部 API 或处理不想通过第三方路由的凭证时。Postman 在账号要求上越来越强硬;Hoppscotch 是干净利落的替代方案。
还有 IT Tools——一个包含 70 多个开发者工具(哈希生成器、UUID 工具、日期转换器、正则表达式测试器、颜色选择器等)的集合,全部基于开源代码构建,所有内容在客户端运行。整个项目在 GitHub 上,可以自托管。对于你经常使用的工具,这类应用其实很适合在本地运行。
| 工具 | 许可证 | 可自托管 | 处理方式 |
|---|---|---|---|
| Excalidraw | MIT | 是 | 客户端 |
| Hoppscotch | MIT | 是 | 客户端 |
| IT Tools | MIT | 是 | 客户端 |
| CyberChef | Apache 2.0 | 是 | 客户端 |
| Mermaid Live | MIT | 是 | 客户端 |
Mermaid Live Editor 将文本转换为流程图、时序图和甘特图——全在浏览器中完成,无需登录,开源。Compiler Explorer 来自 Godbolt,无需注册即可显示 C++、Rust、Go 和数十种其他语言的汇编输出。这两个工具都是开发者会频繁使用的,绝对不应该被账号墙阻拦。
画布和代码同样开放的创意工具
Squoosh 是 Google 构建的图像压缩工具,完全开源,所有处理通过 WebAssembly 在浏览器中完成。你的图片永远不会离开你的设备。你可以压缩 PNG、JPEG、WebP 和 AVIF,并进行并排质量对比。Google 构建 Squoosh 部分是为了展示 WebAssembly 的能力——这意味着代码写得非常好,工具运行极快。无需注册,文件不上传到服务器,除了浏览器本身的处理能力外没有任何大小限制。Squoosh 的列表页有更多细节,简单来说:这就是客户端图像处理做到极致的样子。
SVGOMG 由 Jake Archibald(前 Google Chrome 开发者布道师)构建。它是 SVGO(SVG 优化库)的可视化界面。粘贴或上传一个 SVG,切换要应用的优化选项,下载结果。纯客户端。开源。这类工具做好一件事,没有任何一个输入框要求你的邮箱。
tldraw 值得在这里提及——类似 Excalidraw,但拥有更强大的无限画布模式和不同的风格。开源,基本使用无需登录,数据默认留在浏览器中。如果你不喜欢 Excalidraw 的手绘风格,tldraw 是替代选择。
自我审计的安全工具
有一种近乎讽刺的情况:隐私和安全工具竟然要求你先创建账号才能检查你的隐私。PrivacyTests.org 不是这样。它是一个开源项目,对主流浏览器运行自动化测试,检查追踪保护、指纹识别抵抗力和其他隐私功能。测试方法是公开的,代码在 GitHub 上,你可以看到你的浏览器的具体表现,而不必向任何人提供邮箱。
CyberChef——「网络瑞士军刀」——来自英国情报机构 GCHQ,这对于一个隐私友好工具来说是个特别的出身。但 CyberChef 完全在客户端运行,是开源的(Apache 2.0)。它可以编码、解码、加密、解密、分析数据、在各种格式之间转换,所有操作都不会让数据离开你的浏览器。GCHQ 将它作为公共工具发布来帮助分析师,它已经成为安全研究人员和 CTF 参赛者的标准装备。开源意味着独立研究人员已经验证了它的行为——如果你不想使用 GCHQ 托管的版本,你可以自托管。
PairDrop 使用 WebRTC 进行点对点文件传输。你的文件直接发送到接收方的设备,不经过 PairDrop 的服务器。开源,无需登录,可在任何带有现代浏览器的设备上使用。服务器只负责协助对等发现——一旦连接建立,传输是直接的。对比那些将你的文件上传到服务器的传文件服务:使用 PairDrop,没有什么可以被存储,没有什么可以被泄露,而且验证这一点的代码是公开的。ShareDrop 的工作方式相同,值得收藏作为备用。
「无需注册」在技术上给你带来了什么
EFF 的网络隐私指南有一个值得明确阐述的结构性观点:即使那些声称不出售你数据的工具,也可以在内部使用数据、与合作伙伴共享,或在数据泄露中丢失这些数据。不收集数据的工具就无法滥用数据。没有登录表单不只是方便——这是一种关于工具需要什么数据才能运行的架构声明。
对于开源的无需登录工具,你可以直接验证这一点。克隆仓库,查看网络请求,在本地运行。大多数这类工具的设计初衷就是让自托管变得简单——IT Tools 的 README 有三行 Docker 部署命令。Hoppscotch 有自托管指南。Excalidraw 可以部署到任何静态托管服务。
大多数人不需要自托管。但「可以这样做」这一事实,正是让这些工具值得信赖的原因。一个你可以自己运行但为了方便选择不这样做的工具,与一个你别无选择只能使用他们托管版本的工具,在隐私上有着根本性的区别。
值得关注的趋势
随着 WebAssembly 的发展,开源客户端工具的趋势加速了。Mozilla 关于 WebAssembly 成为 Web 一等语言的文章解释了为什么基于浏览器的工具现在可以达到桌面应用的性能——这让「我们需要服务器来处理这个」的借口越来越站不住脚。
图像压缩?在浏览器里运行(Squoosh)。图表创建?在浏览器里运行(Excalidraw、tldraw)。API 测试?在浏览器里运行(Hoppscotch)。代码编译和执行?在浏览器里运行(Compiler Explorer、Rust Playground、Go Playground)。真正需要服务器端处理的任务类别一直在缩小。
当一个工具坚持需要你的数据存储在他们的服务器上——而且这不是云同步之类本来就是重点的功能——问问为什么。有时有合理的技术原因。通常没有。
能够持久存在的无需注册工具,是那些从架构上让数据收集结构性不可能的工具,而不只是政策上禁止的。开源让这种架构可以被验证。这个组合——开源、客户端、无需登录——是网络工具能提供的最强隐私保证。
浏览 nologin.tools 上的开源工具,找到跨各个分类的已验证选项,从开发者工具到创意工具再到隐私检查器。验证流程正是针对这里描述的这些特性进行检查的。