Skip to content

Security: ipusiron/pin-threat-simulator

Security

SECURITY.md

セキュリティポリシー

教育目的の明示

本ツール「PIN Threat Simulator」は、教育目的でのみ使用することを前提に設計されています。

✅ 許可される使用

  • 大学・専門学校でのセキュリティ教育
  • 企業内セキュリティ研修
  • セキュリティカンファレンスでのデモンストレーション
  • 個人学習・研究目的での使用
  • セキュリティ意識向上のための啓発活動

❌ 禁止される使用

  • 実際のシステムへの不正アクセス
  • 他人のPIN情報の不正取得
  • 犯罪行為への利用
  • 本人の許可なき実験・テスト
  • 悪意ある目的での技術習得

データプライバシー

クライアントサイド処理

  • すべての計算はブラウザー内で完結(サーバーへのデータ送信なし)
  • 入力データは外部に送信されません
  • ユーザーの操作履歴は収集されません

ローカルストレージ

  • テーマ設定(ダーク/ライト)のみをlocalStorageに保存
  • 個人情報は一切保存されません
  • ブラウザーのプライベートモードでも正常に動作します

エクスポート機能

  • JSONエクスポート: セッションデータのみ(個人情報不含)
  • CSVエクスポート: 計算結果のみ
  • エクスポートされたファイルはユーザーの責任で管理してください

セキュリティ実装

XSS対策

  • ユーザー入力は数値・選択肢のみに制限
  • DOM操作はtextContentを使用(innerHTMLの不使用)
  • 外部リソースの読み込みなし

CSRF対策

  • サーバーサイド処理なし(完全クライアントサイド)
  • 外部APIへの通信なし

Content Security Policy

GitHub Pagesでの公開時、以下のポリシーを推奨:

Content-Security-Policy:
  default-src 'self';
  script-src 'self';
  style-src 'self' 'unsafe-inline';
  img-src 'self' data:;
  font-src 'self';
  connect-src 'none';
  frame-ancestors 'self';

脆弱性報告

セキュリティ上の問題を発見した場合:

  1. 公開Issue での報告は避けてください
  2. GitHubのSecurity Advisoriesを使用
  3. または開発者に直接連絡(リポジトリのREADME参照)

報告時の情報

  • 脆弱性の詳細な説明
  • 再現手順
  • 影響範囲
  • 可能であれば修正案

免責事項

  1. 本ツールは「現状のまま」提供され、いかなる保証もありません
  2. 本ツールの使用による損害について、開発者は一切の責任を負いません
  3. 教育目的以外での使用により生じた問題は、使用者の責任となります
  4. 法的問題が発生した場合、使用者が全責任を負います

ライセンス

MIT License - 詳細はLICENSEファイルを参照


最終更新: 2025年1月

There aren't any published security advisories