ホームへ戻る ソースコードの公開

セキュリティ自己診断レポート

当ツールは、情報の不透明さを排除するため、開発にあたりAI(大規模言語モデル)を用いたホワイトハッカー視点のセキュリティ診断を実施しました。その結果を包み隠さず公開します。

📋 セキュリティ分析結果(AIによる評価)

結論:このツール自体の設計は「サーバーサイドの脆弱性」を極めて生み出しにくい構造になっています。

1. サーバーサイドへの攻撃(OSコマンド注入・RCEなど)

【分析:攻撃は極めて困難】
このツールは「サーバーにファイルを送らない」設計です。PDFの解析・結合・編集はすべて利用者のブラウザで行われます。攻撃者がサーバーに悪意のあるPDFをアップロードしても処理が走らないため、サーバーを乗っ取る足がかりがありません。

2. クロスサイト・スクリプティング(XSS)

【分析:対策済み】
PDF内のスクリプトを実行せず、Canvasへ「画像として描画」するだけなので、PDF由来の攻撃は無効化されます。テキスト追加機能もHTMLではなく画像として焼き付けるため、悪意のあるコードが実行されることはありません。

3. サプライチェーン攻撃(ライブラリの汚染)

【分析:対策済み】
外部のCDN(ライブラリ配信元)がハッキングされるリスクに対し、本ツールは「バージョンの完全固定」と「SRI(Subresource Integrity: 改ざん検知のハッシュ値)」の付与を行っています。これにより、万が一配信元が改ざんされても悪意のあるスクリプトは実行されません。

ご自身で安全性を点検(検証)する方法

上記のレポートだけでなく、プログラミングの知識がない方でも、普段お使いのAI(ChatGPTやClaudeなど)にツールのコードを読ませることで、「本当にファイルを送っていないか?」をご自身の手で客観的に検証することができます。

1

質問テンプレートをコピー

下の青い枠内にあるAIへの質問文をコピーします。

2

ソースコードをコピー

ページ最下部の黒い枠内にあるツールの全コードをコピーします。

3

AIに貼り付けて質問

お使いのAI(ChatGPTなど)に「1」と「2」を貼り付けて送信してください。

AIへの質問用テンプレート(コピーして使えます)

以下のHTMLコードは、「ブラウザ完結で安全に動く無料のPDFエディタ」の全ソースコードです。
セキュリティやプライバシーの観点から、このコードを解析し、以下の点について専門家として解説してください。

1. ユーザーがアップロードしたPDFファイルの中身や画像が、外部のサーバーへ送信(アップロード)されるような処理が含まれていないか?
2. 悪意のあるコードや、情報を盗み取るような怪しいプログラムが隠されていないか?
3. アクセス解析(Google Tag Manager等)のタグが含まれているようだが、それは一般的な統計取得の範囲内であり、ファイルの中身自体を送信するものではないか?

【ソースコード】
(※ここに下のソースコードを貼り付けてください)

tool.html (ツール本体の全コード)