Security
本サービスの土台となっているWebRTCのセキュリティ対策及びブラウザのセキュリティ対策によって、安心してご利用できます。
Skybejeのシステム構成の概念図
SSLでの暗号化通信をしています。この部分については一般的なWebサイトのセキュリティと同じであり、詳細な説明は省略します。また、HTMLやJavaScript等のファイルが配置されているだけであり、Webサーバーでの処理はありません。また、Webサーバー側でユーザーの情報を保存する事はありません。
本サービスは、SkyWayを利用してWebRTCを実現しています。
WebRTCは多くのメジャーなサービス(Facebookメッセンジャー/Googleハングアウト/ Skype for Web等)で使用されてる、実績がある技術です。
通信の暗号化や、様々なセキュリティ対策がされています。
WebRTCのセキュリティの詳細については、以下のページを参照してください。
本サービスは全てブラウザ上(JavaScript)で動作します。その為、仮に本サービスに不具合があった場合でも、ブラウザのセキュリティ対策により端末へ不正アクセスをされる事はありません。
通信相手とは、動画や音声のストリーミングの他に、JSONフォーマットのデータを送受信します。
特定の形式のフォーマットのデータのみしか処理しない為、それにより端末へ不正なアクセスをしたりウィルスに感染したりする事はありません。
プロフィールやアクター等のデータについては、自身のデータのみ更新可能であり、通信相手のデータの更新はできません。
IndexedDBは、ドメイン毎にデータを持ちます。ドメインを跨いだアクセスはできません。(これはW3Cの規格です)
よって、本サービスのデータは、本サービスのWebサーバー経由でしか更新/参照できません。
また、本サービスを他ドメインに配置した場合でも、データは共有されません。
つまり、本サービスをフォークしてカスタマイズしたバージョンを、完全に別サービスとして提供する事が可能です。
この部分についてはWebRTCで暗号化されおり、盗聴等の心配はありません。
詳細については「B」に記述したWebRTCのセキュリティページを参照してください。
ユーザーの許可なく、ユーザーの端末に不正なアクセスをする事はありません。
これはブラウザのセキュリティ対策によるものです。
例えばカメラやマイクを接続するには、ユーザーのアクセス許可が必要になります。
ファイルのアップロードやダウンロード等の処理もありますが、ダウンロードできるのはテキスト(JSON)フォーマットのみであり、実行形式のファイルのダウンロード処理はありません。
本サービスには、アカウントという概念はありません。
既に連絡先を知っている信用できる相手に、毎回変わるURLを伝えて接続してもらう用途を想定しており、そのURLを知らない外部のメンバーは接続できない為、安全に利用できる仕組みとなっております。
ですが、アカウントが無い事によって、通信相手の身元を完全には保証できないという問題があります。
または、接続URLが不特定多数の人に伝わってしまうケースもあると思います。
身元が確認できないメンバーの参加を望まない場合の自衛の手段としては、以下のような利用方法を検討してください。
- デフォルトでは「エントランス」と「リビング」の2部屋がありますが、招待したメンバーが配置される部屋は「エントランス」です。
- 「エントランス」で身元確認できたメンバーのみ「リビング」に移動し、リビングで会話するようにします。
- 接続URLしか知らない部外者は、エントランスのみにしか接続できない為、会話の内容が漏れる事はありません。
※この問題については、サービス上で身元の保証をする事はできませんが、前回接続した相手と同一である事を確認できる仕組みの実装を検討しています。