Data Privacy

noncey Client Extension — Chrome Extension

1. Overview

noncey is a Chrome extension that intercepts OTP (one-time password) nonces delivered via email and automatically fills OTP input fields in the browser. It communicates exclusively with a server that you configure yourself (your own noncey daemon). No data is sent to the developer or any third party.

2. Data Stored Locally

The extension stores the following data in your browser using Chrome's built-in storage APIs:

  • Server URL — the address of your noncey daemon, entered by you in the settings.
  • Username — your login name for the daemon, entered by you in the settings.
  • Authentication token (JWT) and its expiry date — obtained from your daemon after successful login and used for all subsequent requests. Your password is submitted once during login and is never stored by the extension.
  • Provider configurations — URL match rules and CSS selectors for OTP input fields, configured by you in the settings.
  • Active configuration selection — which provider configuration is currently active.

The items above are stored in chrome.storage.sync (synced across your signed-in Chrome devices) and chrome.storage.local (device-local). This data never leaves your browser except to reach your own daemon server.

3. Data Transmitted to Your Server

The extension communicates with the server URL you provide. During normal operation the following data is sent to that server:

  • Login credentials (username and password) — once, during authentication.
  • Bearer token — with every API request.
  • OTP field selectors and page URLs — when you use the visual field picker to configure a provider.
  • Test-fill confirmations — when a successful OTP fill is reported.

All of this communication is between your browser and the server you have chosen. The developer of noncey receives none of this data.

4. Permissions Used

  • storage — to persist settings and the authentication token locally.
  • activeTab / scripting / tabs — to inject the OTP fill script and the visual field picker into the current tab on demand.
  • host_permissions (<all_urls>) — required so that the content script can run on any page where an OTP field may appear, and so that the background service worker can reach your configured server URL regardless of its domain.

The extension does not read, copy, or transmit any page content other than the URL of the page where you pick an OTP field.

5. No Third-Party Data Sharing

No personal data is shared with the developer or any third party. The extension contains no analytics, no crash reporting, and no advertising functionality.

6. Your Rights (GDPR)

Because all data is stored locally in your browser or on your own server, you have full control over it at all times. You can delete locally stored data at any time by uninstalling the extension or via chrome://extensions → noncey → Details → Clear data. Data on your own server can be managed through that server's interface.

For questions about this privacy policy, contact: fatih.gey at gmail.com

Datenschutzbestimmungen

noncey Client Extension — Chrome-Erweiterung

1. Überblick

noncey ist eine Chrome-Erweiterung, die per E-Mail zugestellte OTP-Nonces (Einmalpasswörter) abfängt und automatisch in OTP-Eingabefelder im Browser einträgt. Die Erweiterung kommuniziert ausschließlich mit einem Server, den Sie selbst konfigurieren (Ihr eigener noncey-Daemon). Es werden keine Daten an den Entwickler oder Dritte übermittelt.

2. Lokal gespeicherte Daten

Die Erweiterung speichert folgende Daten lokal in Ihrem Browser über die integrierten Chrome-Speicher-APIs:

  • Server-URL — die Adresse Ihres noncey-Daemons, von Ihnen in den Einstellungen eingetragen.
  • Benutzername — Ihr Anmeldename für den Daemon, von Ihnen in den Einstellungen eingetragen.
  • Authentifizierungstoken (JWT) und dessen Ablaufdatum — wird nach erfolgreichem Login von Ihrem Daemon bezogen und für alle nachfolgenden Anfragen verwendet. Ihr Passwort wird einmalig beim Login übermittelt und von der Erweiterung nicht gespeichert.
  • Anbieterkonfigurationen — URL-Matching-Regeln und CSS-Selektoren für OTP-Eingabefelder, von Ihnen in den Einstellungen konfiguriert.
  • Aktive Konfigurationsauswahl — welche Anbieterkonfiguration gerade aktiv ist.

Die oben genannten Daten werden in chrome.storage.sync (synchronisiert über Ihre angemeldeten Chrome-Geräte) und chrome.storage.local (gerätebezogen) gespeichert. Diese Daten verlassen Ihren Browser nicht, außer um Ihren eigenen Daemon-Server zu erreichen.

3. An Ihren Server übermittelte Daten

Die Erweiterung kommuniziert mit der von Ihnen angegebenen Server-URL. Im normalen Betrieb werden folgende Daten an diesen Server übermittelt:

  • Anmeldedaten (Benutzername und Passwort) — einmalig zur Authentifizierung.
  • Bearer-Token — bei jeder API-Anfrage.
  • OTP-Feldselectoren und Seiten-URLs — wenn Sie den visuellen Feldwähler zum Konfigurieren eines Anbieters verwenden.
  • Testausfüllbestätigungen — wenn ein erfolgreicher OTP-Eintrag gemeldet wird.

Diese Kommunikation findet ausschließlich zwischen Ihrem Browser und dem von Ihnen gewählten Server statt. Der Entwickler von noncey erhält keine dieser Daten.

4. Verwendete Berechtigungen

  • storage — zur lokalen Speicherung von Einstellungen und dem Authentifizierungstoken.
  • activeTab / scripting / tabs — um das OTP-Ausfüllskript und den visuellen Feldwähler auf Anfrage in den aktuellen Tab einzuschleusen.
  • host_permissions (<all_urls>) — damit das Content-Script auf jeder Seite ausgeführt werden kann, auf der ein OTP-Feld erscheinen könnte, und damit der Hintergrund-Service-Worker Ihre konfigurierte Server-URL unabhängig von deren Domain erreichen kann.

Die Erweiterung liest, kopiert oder übermittelt keine Seiteninhalte außer der URL der Seite, auf der Sie ein OTP-Feld auswählen.

5. Keine Weitergabe an Dritte

Es werden keine personenbezogenen Daten an den Entwickler oder Dritte weitergegeben. Die Erweiterung enthält keine Analysefunktionen, keine Absturzberichte und keine Werbefunktionalität.

6. Ihre Rechte (DSGVO)

Da alle Daten lokal in Ihrem Browser oder auf Ihrem eigenen Server gespeichert sind, haben Sie jederzeit die vollständige Kontrolle darüber. Sie können lokal gespeicherte Daten jederzeit löschen, indem Sie die Erweiterung deinstallieren oder über chrome://extensions → noncey → Details → Daten löschen. Daten auf Ihrem eigenen Server können über die Oberfläche dieses Servers verwaltet werden.

Sie haben das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18) sowie das Recht auf Datenübertragbarkeit (Art. 20). Soweit die Verarbeitung auf einem berechtigten Interesse beruht, steht Ihnen ein Widerspruchsrecht nach Art. 21 DSGVO zu.

Bei Fragen zu dieser Datenschutzerklärung wenden Sie sich an: fatih.gey at gmail.com