セキュリティとプライバシーポリシー
セキュリティについて
thilmera は全ての実行ファイル(*.exe)及び内蔵ドライバ(*.sys)(旧ドライバーを除く)に対し、"Gakuto Matsumura" 銘でデジタル署名を行っています。署名を発行しているCA(認証局)は2021/04まではGlobalSign、それ以降はCertumです。もし違う名前の署名であったり、署名が無効、あるいはCertumの発行ではないものになっている場合は絶対に実行しないで下さい。
Windows XPにおいて、副署名のアルゴリズムが不明と言われるのは、SHA256にOSであるXPが対応していないのが原因なので、これは特に問題ありません。
本ソフトウェアの自動アップデートは、このデジタル署名が正しいものでない場合はダウンロード、アップデート、起動のいずれかの時点で停止するようになっています。
デジタル署名は、発行元が不明なプログラムの多い現代において、プログラムの身元をはっきりさせる”改ざんされていない本来のソフトウェア”を証明するもので、 thilmera にも2011年03月から導入されています。
thilmera のデジタル署名は個人用のものです。そのため、もし作者である私が本ソフトウェアにおいて不正な情報を収集したり、他のプログラムやサービスに情報を送信するような事をしてしまった場合、私のデジタル署名と、個人開発者としてのレピュテーション(評価)は元には戻らないものとなるでしょう。
広告やバンドルも無しに無償で提供しているのは、開発理由が趣味である事と、勉強目的(品質の良いプログラムを提供する)であるためです。
なので、よくあるフリーだけどバンドルがインストールされたり、実は途中からスパイウェアでしたみたいなのは絶対やりたくありません。
thilmera はどの組織にも帰属せず、全ての判断は私個人が行うため、何等かの利権によって、プライバシーポリシーが侵害されることはありません。
新規にダウンロードした場合は、必ずデジタル署名が正しいかを確認して下さい。
自動アップデートでは各種ファイルの不一致や破損、署名が正しくないなどの場合も停止するように設計されています。
データ収集におけるポリシー(プライバシーポリシー)
thilmera が、明確なユーザーの了解を得ずに、ユーザーの個人情報やPC上のデータを、PCの外部へと送信することはありません。標準でオフになっている「PC間データシェア」機能を利用すると、ユーザーが指定した送信先に、 thilmera の表示データが送信されますが、ユーザーの指定先以外に情報が送信されることはありません。
標準でオフになっている「ステータス投稿」機能を利用すると、ユーザーが指定した送信先に、指定した内容のデータが送信されますが、ユーザーの指定先以外に情報が送信されることはありません。
また、現時点で、 thilmera のデータを、サーバー上で収集するような機能はありません。
0b172で導入されるステータスログは、PCのローカルストレージ上で完結した機能で、ネットワークには送信されません。
HTTPリクエストの送受信時には、使用している thilmera のバージョン、および言語ID(4ケタの数字)が付帯されます。
送信されるデータとタイミング
| 初回起動時等 | HTTPリクエストで Certum(CA) へ、デジタル署名の失効状況の確認が送受信(OSの挙動)。 |
| 自動更新チェックON時 | 起動時と1日に一度、及び更新チェック&アップデートがクリックされた時、HTTPSリクエストでrepo.thilmera.comに対し、テキストデータのバージョン文字列を取得。 |
| SNTP 時刻合わせON時 | 15分に一度、UDPの SNTP リクエストで、指定のホストに対し、時刻を送信し、時刻を受信。 |
| PC間データシェアON時 | TCPの独自リクエストで、指定ホスト間で表示内容の文字列を送受信。 |
| 自動アップデート時 | HTTPSリクエストでrepo.thilmera.comからサムチェック、パッケージ、アップデート実行ファイルを取得。 |
| カレンダー表示開始(0b134 Rev.4~) | 起動時と日付変更時にHTTPSリクエストで、repo.thilmera.comに対し、祝日のデータを取得。(0b174以降はバージョン確認時に同時に取得) |
| 仮想通貨系 | HTTPSリクエストで、各APIサーバーにし、jsonデータを要求、受信。 |
| ステータス通知 | HTTPSリクエストで、メールサーバー、 Twitter または Discord のサーバーに対し、投稿用の指定文字列を送信。 |
| 気温, 天気 | HTTPSリクエストで、api.openweathermap.orgサーバーから情報を取得。指定するZipコード、または緯度経度がopenweathermapへ送信されます。 |
逆引き - 送信される可能性のあるデータ
| thilmera のバージョン | HTTPリクエスト時 |
| デフォルトUI言語ID(4ケタ) | HTTPリクエスト時 |
| IP | HTTPリクエスト時。 SNTP リクエスト時。 |
| ランダムな文字列とハッシュ | repo.thilmera.comサーバーの確認用(DNSキャッシュポイズニングなどへの対策) |
| thilmera メインウィンドウの画像データ | PC間データシェアON時。ユーザー指定のIPに対して。 |
| Twitter APIキー | ステータス投稿時に Twitter サーバーへ。またはタイムライン取得時。 |
| Discord Webhook | ステータス投稿時に Discord サーバーへ。 |
| Slack Incoming Webhook | ステータス投稿時にSlackサーバーへ。 |
| 天気 APIキー | 天気取得時にapi.openweathermap.orgへ。 |
その他 - 備考
・0b167 Rev.7 以降は、Web通信時のユーザーエージェント名に言語IDを含む。
例:日本語なら 0x0411 という番号。
これは通信元の国などを表すものではなく、利用者がOSに設定しているUIのデフォルト言語のID(4ケタの数値)です。
日本語と英語以外の言語に対応してほしいとの意見があったため、どの言語に需要があるかを図るために導入されました。
PC間データシェアで、表示として送信されるコンピューター名はオンオフが選択でき、0b174以降では自由なカスタム名が指定できます。
上記のうち、 SNTP 時刻合わせと状態メール送信は、プロキシを通せないため、プロキシを使用しないとネットワークに接続できないプロパイダ契約の場合は実行できません。
© 2001-2023 Gakuto Matsumura:弦生ささと (thilmera7gmail.com)