OneSignal - 安全问题
OneSignal - security concerns
我有几个关于 OneSignal 通知服务的问题。我一直在阅读文档,有几件事在安全方面困扰着我,或者我遗漏了一些东西。
据我了解,过程 Javascript 客户端使用 Web Push SDK 与 OneSignal API 进行通信。要实例化通信,它需要 appId 参数,该参数可供客户端使用。
之后,客户端可以调用 getExternalId、getEmail、getTags 方法来收集用户敏感数据。一旦在其他一些设备上拥有该数据,就可以使用收集的数据调用 setExternalId 和 setTags 来模拟其他用户并接收针对他们的通知(至少是那些使用设置参数路由的通知)。
OneSignal 是否假定设备(端点)未受到损害?
OneSignal doesnt see setExternalId misuse as a security concern,因为通知不应包含敏感信息,如他们的 webpush SDK github 中所述。
他们对 external_id 的唯一建议是它的独特性和复杂性。
客户端只有知道订阅者的 OneSignal 才能调用 getTags、getEmail、getExternalId 和其他方法 player_id。由于 player_id 只有客户端知道,因此无法模拟用户或获取此数据。
即便如此,OneSignal 建议不要在标签或其他字段中存储敏感数据。
我有几个关于 OneSignal 通知服务的问题。我一直在阅读文档,有几件事在安全方面困扰着我,或者我遗漏了一些东西。
据我了解,过程 Javascript 客户端使用 Web Push SDK 与 OneSignal API 进行通信。要实例化通信,它需要 appId 参数,该参数可供客户端使用。
之后,客户端可以调用 getExternalId、getEmail、getTags 方法来收集用户敏感数据。一旦在其他一些设备上拥有该数据,就可以使用收集的数据调用 setExternalId 和 setTags 来模拟其他用户并接收针对他们的通知(至少是那些使用设置参数路由的通知)。
OneSignal 是否假定设备(端点)未受到损害?
OneSignal doesnt see setExternalId misuse as a security concern,因为通知不应包含敏感信息,如他们的 webpush SDK github 中所述。
他们对 external_id 的唯一建议是它的独特性和复杂性。
客户端只有知道订阅者的 OneSignal 才能调用 getTags、getEmail、getExternalId 和其他方法 player_id。由于 player_id 只有客户端知道,因此无法模拟用户或获取此数据。
即便如此,OneSignal 建议不要在标签或其他字段中存储敏感数据。