メインコンテンツまでスキップ

uwuzuの安全性は?

uwuzuの安全性と脆弱性についてを書き綴るページです

uwuzuは脆弱なの?

uwuzuは過去、脆弱性により1日でサービスが終了してしまったサーバーがありました。
二度とこんなことを繰り返さないために、uwuzuでは様々なセキュリティ対策を施しています!
ですが、少なからずuwuzuに脆弱性があるリスクはあります。ご利用の際は脆弱性リスクも考慮したうえでのご利用をお願いします!

uwuzuで行っているセキュリティ対策

uwuzuで行っているセキュリティ対策を一部紹介します。

1. ユーザーデータの暗号化

万が一、データベース情報が漏洩した場合などに備え、アカウントの以下の情報の暗号化をユーザーごとに生成される鍵で行うようにしています。

  • メールアドレス
  • 二段階認証生成用コード
  • IPアドレス

また、パスワードやバックアップコードなどはハッシュ化して保存しています。

2. ログイン済み認証の二重チェック

ユーザーはログイン時に鍵を2つ受け取るようにしてあり、その鍵が正規のサーバーで作成されたものかの確認が行われます。
万が一、片方の鍵が流出しても、もう一つの鍵は攻撃者によって生成はできません。

3. パスワード強度チェック

uwuzuにはアカウント登録時とパスワード変更時の安全性チェック機能があります。
これにより、パスワードの強度向上をユーザーへ促すことができます。

4. エラー・操作ログ機能

もしuwuzuでエラーが発生したり、重大な操作がされた場合に、管理画面より確認可能なログが残ります。
まだすべてのエラーには対応していませんが、順次対応します。

バグ・脆弱性の報告について

uwuzu上でバグや脆弱性を発見した際は、以下の手順を踏んで開発部まで報告してください!
なお、バグや脆弱性が悪用されないよう、報告はなるべく秘密でお願いいたします!
uwuzuの安全性を高めて、ユーザーを保護するために、ご協力をお願いいたします!

1. バグ・脆弱性情報の送信

次のいずれかの方法で報告をしてください!

1. 直接の連絡

以下の書式でバグ・脆弱性情報を送信してください!
送信先は、お問い合わせより、個別で送信するか、問い合わせフォームより行うか、GithubリポジトリのSecurityタブより、お願いいたします。

# バグ・脆弱性情報の報告
## 概要
ソフトウェア名: (通常は"uwuzu"ですが、uwuzuの派生(Fork)ソフトウェアやuwuzu開発部の作成したuwuzuにまつわるソフトウェアであればその名前を掲載してください)
影響を受けるバージョン: (1.4.14など見つけたバージョンを指定(わからなければ「不明」))
発生場所: (domain/home/index.phpなど、バグの発生場所を指定)
## 内容
(脆弱性・バグの内容を改行してから入力)
## 再現方法
(脆弱性・バグの再現方法を改行してから入力)
## バグ・脆弱性によって引き起こされる問題
(脆弱性やバグによって引き起こされる問題や脅威を改行してから入力)
## 回避策
(脆弱性やバグを回避する方法)
## 深刻度と影響範囲
深刻度: (「緊急・重要・警告・注意・なし」から選択)
影響範囲: (「登録していないユーザー含むすべてのアクセス端末・ログインしているすべてのユーザー・サーバー管理者のみ・それ以外」から選択)
## 備考
(自由記入)

2. IPAを通じての脆弱性報告

脆弱性関連情報の届出ページより、脆弱性情報を記入して、ご報告ください!

2. 修正・配布

報告後、開発部で該当のバグ・脆弱性を修正した後、修正バージョンをリリースします!
重大な修正である場合は、公式コミュニティ及び脆弱性情報ページで脆弱性情報を公開します

3. 修正アップデートの適用方法

多くのリリースの場合、uwuzuサーバー管理画面より、アップデートから修正アップデートの適用ができます。
uwuzuサーバー管理者でない場合、お使いのサーバーの管理者様への連絡をお願いいたします!

2025/02/22(最終更新)