Security Guide

Last Updated: December 2024

Introduction

This Security Guide explains how "dAIly Planner" Chrome Extension ("we", "our", or "the extension") handles your data securely and what security measures are in place to protect your information.

Data Storage and Security

✅ Local Storage Only

All data is stored locally on your device using Chrome's chrome.storage.local API
No data is sent to our servers (we don't have any servers)
Your data never leaves your device except when you explicitly request AI analysis

What Data is Stored Locally?

Schedule Data: Your daily, weekly, monthly, and quarterly schedules
User Settings: Your name, preferences, and configuration
Gemini API Key: Stored securely using Chrome's encrypted storage
Language Preference: Your selected language (Korean/English)

🔒 Chrome Storage Security

Chrome's chrome.storage.local API provides:

Encrypted storage on your device
Isolation from other extensions
Automatic cleanup if extension is uninstalled

API Key Security

How Your API Key is Protected

Local Storage Only: Your Gemini API key is stored only on your device
No Transmission: The API key is never sent to our servers
Direct API Calls: API calls are made directly from your browser to Google's servers
Password Field: The API key input uses a password field to prevent shoulder surfing

⚠️ Important Security Notes

Never share your API key with anyone
If you suspect your API key is compromised, regenerate it in Google Cloud Console
Regularly review your API usage in Google Cloud Console
Set API usage limits in Google Cloud Console to prevent unexpected charges

Data Transmission

When Data Leaves Your Device

Data is only transmitted in the following scenarios:

1. AI Analysis Requests

What: Schedule descriptions and context
Where: Directly to Google's Gemini API servers
When: Only when you explicitly request AI analysis or chat assistance
Encryption: All transmissions use HTTPS (TLS 1.2+)

2. Chat Messages

What: Your chat messages and schedule queries
Where: Directly to Google's Gemini API servers
Storage: Chat history is stored locally, not sent to Google

🔐 HTTPS Encryption

All API communications use HTTPS encryption, ensuring:

Data cannot be intercepted in transit
Server identity is verified
Data integrity is maintained

Third-Party Services

Google Gemini API

We use Google's Gemini API for AI-powered schedule analysis and chat
When you use AI features, data is sent to Google's servers
Google's privacy policy applies: https://policies.google.com/privacy
We do not control how Google processes this data
You can review Google's security practices: https://cloud.google.com/security

                    💡 Best Practices
                    Review your API usage regularly in Google Cloud Console
Set up billing alerts to monitor costs
Use API key restrictions in Google Cloud Console
Rotate your API key periodically

                

Permissions Explained

Required Permissions

storage: To save your schedules and settings locally
sidePanel: To display the extension interface
activeTab: To detect text selection on web pages

Content Scripts

Content Scripts: Declared in manifest.json to automatically inject content.js into web pages for text selection detection and "Add as Task" button display. No dynamic scripting permission is required.

Host Permissions

https://generativelanguage.googleapis.com/*: To communicate with Google's Gemini API

Note: We request only the minimum permissions necessary for the extension to function. We do not request access to your browsing history, bookmarks, or other personal data.

Data Deletion

How to Delete Your Data

Open the extension side panel
Go to Settings
Clear your API key (optional)
Uninstall the extension from chrome://extensions/

✅ Complete Deletion: When you uninstall the extension, all stored data is automatically deleted from your device. Chrome's storage API ensures complete removal.

Security Best Practices

For Users

Keep your Chrome browser updated
Use a strong, unique API key
Regularly review your schedule data
Don't share your device with untrusted users
Monitor your Google Cloud Console for unusual API usage

For Developers

Review the source code on GitHub
Report security vulnerabilities responsibly
Keep the extension updated

Vulnerability Reporting

If you discover a security vulnerability, please report it responsibly:

Email: lucestdail@kakao.com
GitHub: https://github.com/lucestdail

Please include:

Description of the vulnerability
Steps to reproduce
Potential impact
Suggested fix (if any)

Contact Us

If you have any questions about security or this guide, please contact us:

Email: lucestdail@kakao.com
GitHub: https://github.com/lucestdail

소개

본 보안 가이드는 "dAIly Planner" Chrome 확장 프로그램("본 확장 프로그램")이 귀하의 데이터를 안전하게 처리하는 방법과 정보를 보호하기 위한 보안 조치를 설명합니다.

데이터 저장 및 보안

✅ 로컬 저장만 사용

모든 데이터는 Chrome의 chrome.storage.local API를 사용하여 귀하의 기기에만 로컬로 저장됩니다
자체 서버로 데이터를 전송하지 않습니다 (자체 서버가 없습니다)
AI 분석을 명시적으로 요청할 때를 제외하고는 귀하의 데이터가 기기를 떠나지 않습니다

로컬에 저장되는 데이터

일정 데이터: 일간, 주간, 월간, 분기별 일정
사용자 설정: 이름, 선호도, 구성
Gemini API 키: Chrome의 암호화된 저장소를 사용하여 안전하게 저장
언어 설정: 선택한 언어 (한국어/영어)

🔒 Chrome 저장소 보안

Chrome의 chrome.storage.local API는 다음을 제공합니다:

기기에서의 암호화된 저장
다른 확장 프로그램과의 격리
확장 프로그램 제거 시 자동 정리

API 키 보안

API 키 보호 방법

로컬 저장만: Gemini API 키는 귀하의 기기에만 저장됩니다
전송 없음: API 키는 자체 서버로 전송되지 않습니다
직접 API 호출: API 호출은 브라우저에서 Google 서버로 직접 이루어집니다
비밀번호 필드: API 키 입력은 어깨너머 시청을 방지하기 위해 비밀번호 필드를 사용합니다

⚠️ 중요한 보안 사항

API 키를 누구와도 공유하지 마세요
API 키가 유출되었다고 의심되면 Google Cloud Console에서 재생성하세요
Google Cloud Console에서 API 사용량을 정기적으로 검토하세요
예상치 못한 요금을 방지하기 위해 Google Cloud Console에서 API 사용량 제한을 설정하세요

데이터 전송

데이터가 기기를 떠나는 경우

데이터는 다음 시나리오에서만 전송됩니다:

1. AI 분석 요청

내용: 일정 설명 및 컨텍스트
대상: Google의 Gemini API 서버로 직접
시기: AI 분석이나 채팅 지원을 명시적으로 요청할 때만
암호화: 모든 전송은 HTTPS(TLS 1.2+)를 사용합니다

2. 채팅 메시지

내용: 채팅 메시지 및 일정 쿼리
대상: Google의 Gemini API 서버로 직접
저장: 채팅 기록은 로컬에 저장되며 Google로 전송되지 않습니다

🔐 HTTPS 암호화

모든 API 통신은 HTTPS 암호화를 사용하여 다음을 보장합니다:

전송 중 데이터 가로채기 불가능
서버 신원 확인
데이터 무결성 유지

제3자 서비스

Google Gemini API

AI 기반 일정 분석 및 채팅을 위해 Google의 Gemini API를 사용합니다
AI 기능을 사용할 때 데이터가 Google 서버로 전송됩니다
Google의 개인정보처리방침이 적용됩니다: https://policies.google.com/privacy?hl=ko
Google이 이 데이터를 처리하는 방법은 본 확장 프로그램이 통제하지 않습니다
Google의 보안 관행을 검토할 수 있습니다: https://cloud.google.com/security

                    💡 모범 사례
                    Google Cloud Console에서 API 사용량을 정기적으로 검토하세요
비용 모니터링을 위한 청구 알림을 설정하세요
Google Cloud Console에서 API 키 제한을 사용하세요
정기적으로 API 키를 교체하세요

                

권한 설명

필수 권한

storage: 일정 및 설정을 로컬에 저장하기 위해
sidePanel: 확장 프로그램 인터페이스를 표시하기 위해
activeTab: 웹 페이지에서 텍스트 선택을 감지하기 위해

콘텐츠 스크립트

콘텐츠 스크립트: manifest.json에 선언되어 content.js를 웹 페이지에 자동으로 주입하여 텍스트 선택 감지 및 "할 일로 추가" 버튼 표시 기능을 제공합니다. 동적 스크립팅 권한이 필요하지 않습니다.

호스트 권한

https://generativelanguage.googleapis.com/*: Google의 Gemini API와 통신하기 위해

참고: 확장 프로그램이 작동하는 데 필요한 최소한의 권한만 요청합니다. 브라우징 기록, 북마크 또는 기타 개인 데이터에 대한 액세스는 요청하지 않습니다.

데이터 삭제

데이터 삭제 방법

확장 프로그램 사이드 패널 열기
설정으로 이동
API 키 지우기 (선택사항)
chrome://extensions/에서 확장 프로그램 제거

✅ 완전 삭제: 확장 프로그램을 제거하면 저장된 모든 데이터가 기기에서 자동으로 삭제됩니다. Chrome의 저장소 API가 완전한 제거를 보장합니다.

보안 모범 사례

사용자를 위한

Chrome 브라우저를 최신 상태로 유지하세요
강력하고 고유한 API 키를 사용하세요
일정 데이터를 정기적으로 검토하세요
신뢰할 수 없는 사용자와 기기를 공유하지 마세요
Google Cloud Console에서 비정상적인 API 사용량을 모니터링하세요

개발자를 위한

GitHub에서 소스 코드를 검토하세요
보안 취약점을 책임감 있게 보고하세요
확장 프로그램을 최신 상태로 유지하세요

취약점 보고

보안 취약점을 발견한 경우 책임감 있게 보고해주세요:

이메일: lucestdail@kakao.com
GitHub: https://github.com/lucestdail

다음을 포함해주세요:

취약점 설명
재현 단계
잠재적 영향
제안된 수정 사항 (있는 경우)

문의하기

보안 또는 본 가이드에 대한 질문이 있으시면 다음으로 연락해주세요:

이메일: lucestdail@kakao.com
GitHub: https://github.com/lucestdail