Under the hood

YARORA is a behavioral-risk analytics tool built as a 0-dependency, no-build, fully client-side static app. No backend, no accounts, no data collection: your trades are analyzed in your browser and never leave your device. Below is how it is built - and every claim is yours to verify. Open DevTools.

Verify it yourself

Don't take the word for it - each of these is a live, third-party check:

A+Mozilla Observatory · 120/120 A+securityheaders.com HSTSPreload submitted CTCertificate Transparency log

0Runtime dependencies

144Tests passing

CLS 0Zero layout shift · instant render

PWAWorks fully offline

Architecture

Vanilla HTML/CSS/JavaScript. No framework, no build step, no bundler - what ships is what is written. The analysis is three pure, DOM-free engines: one computes the metrics, the six behavioral detectors and the 0-100 Risk Health Score; one runs a disciplined counterfactual replay; one does bootstrap and Monte Carlo resampling. The UI layer is separate, so the engines stay testable in isolation. Charts are hand-drawn SVG (no charting library). A service worker delivers full offline use; a command palette (Ctrl/Cmd-K) drives every action; the whole app is bilingual (EN/DE), routed before first paint.

Security

Hardened to A+ on every scanner that can grade it. Strict Content-Security-Policy (default-src 'none', hash-pinned scripts, no unsafe-inline in script-src) plus Trusted Types; HSTS with includeSubDomains; preload; COOP/COEP/CORP cross-origin isolation; a locked Permissions-Policy; scoped CORS; and DNS-layer CAA + email SPF/DMARC/TLS-RPT. The CSV importer is fuzz-tested and hardened against prototype pollution, ReDoS, formula injection and memory exhaustion (row/column/field caps). CI is SHA-pinned and runs gitleaks, CodeQL, dependency audit, an SBOM, a CSP/headers lint, a zero-dependency assertion, plus weekly OWASP ZAP, Nuclei and a Certificate-Transparency monitor.

Engineering judgment

The most deliberate decision is what was not built. A backend with accounts and stored broker tokens would turn a site with nothing to steal into a high-value target carrying real maintenance and legal weight. So the architecture stays client-side: it has essentially no attack surface, collects no personal data, and costs nothing to run. Broker connection is the same philosophy - a read-only API key signed in the browser (Web Crypto) and sent only to the exchange, or a CSV export; either way the data is analyzed locally and never reaches a server. Results are honestly labeled self-reported, because without a server in the data path no client can prove provenance - and the tool refuses to claim otherwise.

Testing

144 deterministic tests cover the engines end to end, including an adversarial fuzz suite for the parser (malformed, oversized, unicode, mixed-delimiter, prototype-pollution and formula-injection inputs) that asserts it never throws, hangs, or leaks. Zero console errors or warnings in production.

Open DevTools

The fastest audit: open the browser console (no errors), the Network tab (no third-party requests, no trackers, tiny payload), the Application tab (a service worker; load the page, go offline, reload - it still works), and the response headers (the strict CSP above). Nothing here is asserted that you cannot see for yourself.

Auf Englisch ansehen → ← Zurück zur Startseite

Unter der Haube

YARORA ist ein Tool für Verhaltens-Risikoanalyse, gebaut als 0-Abhängigkeiten-, Build-freie, vollständig clientseitige statische App. Kein Backend, keine Konten, keine Datenerhebung: deine Trades werden im Browser ausgewertet und verlassen nie dein Gerät. Hier steht, wie sie gebaut ist - und jede Aussage kannst du selbst prüfen. Öffne die DevTools.

Prüf es selbst

Glaub es nicht einfach - jeder Punkt ist eine echte Prüfung durch Dritte:

A+Mozilla Observatory · 120/120 A+securityheaders.com HSTSPreload eingereicht CTCertificate-Transparency-Log

0Laufzeit-Abhängigkeiten

144Tests bestehen

CLS 0Kein Layout-Shift · sofortiges Rendern

PWAFunktioniert komplett offline

Architektur

Reines HTML/CSS/JavaScript. Kein Framework, kein Build-Schritt, kein Bundler - was ausgeliefert wird, ist was geschrieben wurde. Die Analyse besteht aus drei reinen, DOM-freien Engines: eine berechnet die Kennzahlen, die sechs Verhaltens-Detektoren und den 0-100 Risk Health Score; eine führt einen disziplinierten kontrafaktischen Replay durch; eine macht Bootstrap- und Monte-Carlo-Resampling. Die UI-Schicht ist getrennt, sodass die Engines isoliert testbar bleiben. Diagramme sind handgezeichnetes SVG (keine Chart-Bibliothek). Ein Service Worker liefert vollständige Offline-Nutzung; eine Befehlspalette (Strg/Cmd-K) steuert jede Aktion; die App ist zweisprachig (EN/DE), geroutet vor dem ersten Rendern.

Sicherheit

Auf A+ gehärtet bei jedem Scanner, der sie bewerten kann. Strikte Content-Security-Policy (default-src 'none', hash-fixierte Skripte, kein unsafe-inline in script-src) plus Trusted Types; HSTS mit includeSubDomains; preload; COOP/COEP/CORP Cross-Origin-Isolation; gesperrte Permissions-Policy; eingegrenztes CORS; sowie CAA auf DNS-Ebene + E-Mail SPF/DMARC/TLS-RPT. Der CSV-Import ist fuzz-getestet und gehärtet gegen Prototype Pollution, ReDoS, Formel-Injection und Speicher-Erschöpfung (Zeilen-/Spalten-/Feld-Limits). Die CI ist SHA-fixiert und führt gitleaks, CodeQL, Dependency-Audit, ein SBOM, einen CSP/Header-Lint, eine Null-Abhängigkeiten-Prüfung sowie wöchentlich OWASP ZAP, Nuclei und einen Certificate-Transparency-Monitor aus.

Technisches Urteilsvermögen

Die bewussteste Entscheidung ist, was nicht gebaut wurde. Ein Backend mit Konten und gespeicherten Broker-Tokens würde aus einer Seite, an der nichts zu stehlen ist, ein hochwertiges Ziel machen - mit echtem Wartungs- und Rechtsaufwand. Also bleibt die Architektur clientseitig: praktisch keine Angriffsfläche, keine personenbezogenen Daten, kostenfreier Betrieb. Die Broker-Anbindung folgt derselben Philosophie - ein nur-lesender API-Schlüssel, im Browser signiert (Web Crypto) und nur an die Börse gesendet, oder ein CSV-Export; in beiden Fällen wird lokal ausgewertet und erreicht nie einen Server. Ergebnisse sind ehrlich als selbst angegeben gekennzeichnet, denn ohne Server im Datenpfad kann kein Client die Herkunft beweisen - und das Tool behauptet nichts anderes.

Tests

144 deterministische Tests decken die Engines End-to-End ab, inklusive einer adversen Fuzz-Suite für den Parser (fehlerhafte, übergroße, Unicode-, gemischte-Trenner-, Prototype-Pollution- und Formel-Injection-Eingaben), die sicherstellt, dass er nie abstürzt, hängt oder Daten verliert. Null Konsolenfehler oder -warnungen in der Produktion.

Öffne die DevTools

Die schnellste Prüfung: öffne die Browser-Konsole (keine Fehler), den Network-Tab (keine Drittanbieter-Anfragen, keine Tracker, winzige Payload), den Application-Tab (ein Service Worker; lade die Seite, geh offline, neu laden - sie funktioniert weiter) und die Response-Header (die strikte CSP oben). Nichts hier wird behauptet, das du nicht selbst sehen kannst.