Monopeak
Monopeak
mono-peak.com
⟵ العودة للرئيسية
محرك بحث سيادي

فهرسك. مساحتك. صوتك الحقيقي.

Monopeak يفهرس المحتوى داخل حدود مساحة العمل، مع جلسات غير شفافة مربوطة بالجهاز — لا مفاتيح في المتصفح، والخادم وحده يقرر من يدخل.

جاري التحقق من الجاهزية…

تغليف .sos

مسار تخزين هرمي مع رفع وتدقيق؛ الواجهة تعرض مسارات API الحقيقية كما في المحرك.

سيغما وفهرسة عمياء

عند التفعيل، يُدمج البحث بين بصمة العلامات والوسوم العمياء دون كشف مصطلحاتك الخام للخادم.

عزل مساحة العمل

كل نتيجة بحث ملزمة بمساحة عملك — سياسة غير قابلة للمساومة في الكود.

كيف نحفظ معلوماتك (بالضبط)

شرح تقني ومختصر لكل طبقة يمرّ بها الملف من لحظة الرفع إلى لحظة البحث. هذه ليست صياغة تسويقية — كل بند أدناه مبنيّ مباشرة على الكود المفتوح في المحرك.

تغليف .sos

كل ملف يُوضَع في مغلّف ثنائي موحّد: رأس 64 بايت، بيانات وصفية مشفّرة، حمولة مشفّرة، وبصمة تحقّق 32 بايت في الذيل.

  • التشفير: AES-256-GCM للبيانات الوصفية والمحتوى.
  • التكامل: SHA-256 على كامل المغلّف، يُرفض أي ملف معدَّل.
  • كل ملف له nonce خاص؛ لا إعادة استخدام.

مفاتيح بطبقتين: KEK ⟶ DEK

لكل ملف مفتاحه الخاص (DEK) يُنشأ عشوائياً ثم يُغلَّف بمفتاح أب (KEK) يعيش في المخدّم. هذا يفصل تدوير المفاتيح عن إعادة تشفير التخزين.

  • تدوير KEK ممكن دون لمس الملفات.
  • مفاتيح قديمة تُقرأ فقط عبر MONOPEAK_OLD_KEYS.
  • لا مفاتيح في المتصفح — أبداً.

مسار تخزين هرمي

الملفات تُوزَّع وفق أول ستة أحرف من بصمتها: base/aa/bb/cc/<sha256>.sos. يمنع مجلدات ضخمة بمليون ملف في مكان واحد.

  • البنية ثابتة ومتوقّعة — قابلة للنسخ والنقل.
  • لا يمكن استنتاج المحتوى من المسار.

عزل مساحة العمل

كل استعلام، كل تنزيل، كل تدقيق — جميعها تُقيَّد تلقائياً بـ workspace_id الخاصّ بالجلسة. القيد فُرِض في الكود، لا في واجهة مستخدم يمكن تجاوزها.

  • لا نتيجة بحث تعبر حدود مساحتك.
  • سجلات الوصول (ACL) مفصولة لكل مساحة.

بحث بلا كشف: Sigma

عند التفعيل، تُحوَّل كلمات استعلامك إلى وسوم عمياء عبر HMAC-SHA-256 مع مفتاح سرّي ومعرّف قسم وعصر أسبوعي، ثم تُطابَق داخل نافذة تاريخية. الخادم لا يرى كلماتك الخام.

  • لا فهرس قابل للمسح نصياً بالمصطلحات.
  • نافذة متحرّكة (افتراضياً ٤ أسابيع) للتدوير الدوري.
  • بصمة علامات قديمة (tag_hash) متوازية للتوافق.

جلسات غير شفافة مربوطة بالجهاز

الجلسة رمز عشوائي في Redis، ليست JWT. تخزين SHA-256 من الرمز فقط، وإبطال فوري لكل جلسات جهاز معيّن عبر مفتاح عكسي.

  • لا أسرار في المتصفح سوى الرمز نفسه، قابل للإلغاء لحظياً.
  • رأس x-device-id مطلوب مع كل نداء.
  • الأجهزة المصرَّح لها محفوظة في admin_configs.

رادار السلامة

عيّنة دورية تعيد التحقّق من بصمات SHA-256 على التخزين، وتكشف أي ملف مفقود أو معدَّل. التقارير محفوظة في integrity_reports ويمكن متابعتها في لوحة الذاكرة.

  • حالة العيّنة: سليم / مشكلة في البصمة / ملف مفقود / مسار غير صالح.
  • تنبيه أحمر تلقائي عند تجاوز العتبة.

سجلّ تدقيق وصول (ACL)

كل قرار وصول (نجاح أو رفض)، كل تنزيل، كل تعديل مشاركة — يُكتب في acl_audit_logs مع الهوية ومساحة العمل والرمز المكافئ للمسبّب.

  • قابل للاستعلام عبر /audit/files/:id و /audit/workspaces/:id.
  • لا تُحذَف السجلّات تلقائياً.

حدّ معدّل نافذة متزلجة

حماية من الضربات المتكرّرة: تسجيلات الدخول، البحث، الرفع، وسحب الإعلانات — جميعها محميّة بنافذة Redis ذرّية مكتوبة بـ Lua.

  • الهوية طبقات: user_iddevice_idip.
  • إعدادات قابلة للتخصيص عبر MONOPEAK_RL_*.

مراقبة جاهزية وقياس

ثلاث بوّابات مراقبة منفصلة: /healthz للتشغيل الحيوي، /readyz يفحص MongoDB وRedis بمهلة قصيرة، /metrics بصيغة Prometheus (محميّة عند Nginx بالـ loopback فقط).

  • لا تعرّض /metrics للإنترنت — القرار في واجهة Nginx.
  • شارة صحة خفيفة لعرضها في اللوحات.

وعد واحد لا يتغيّر: لا يُكتب أي ملف قبل تشفيره، ولا يُقرأ أي سطر بحث خارج مساحة عملك، ولا تُصدَر أي جلسة قبل أن يُثبت الخادم أن جهازك مصرَّح له. الكود — لا الواجهة — هو ضامن هذا.

«الإنترنت الميت» ليس قدرنا: منصة واحدة للبشر الحقيقيين، بصوت واحد لكل إنسان داخل حدوده السيادية.