【问题标题】:OneSignal - security concernsOneSignal - 安全问题
【发布时间】:2020-04-07 17:51:57
【问题描述】:

我有几个关于 OneSignal 通知服务的问题。我一直在阅读文档,但有几件事在安全方面困扰着我,或者我遗漏了一些东西。

据我了解,Javascript 客户端使用 Web Push SDK 与 OneSignal API 通信的过程。要实例化通信,它需要 appId 参数,该参数可供客户端使用。

之后,客户端可以调用 getExternalId、getEmail、getTags 方法来潜在地收集用户敏感数据。一旦在其他一些设备方法上拥有该数据,就可以使用收集的数据调用 setExternalId 和 setTags 来模拟其他用户并接收定向到他们的通知(至少那些使用设置参数路由的通知)。

OneSignal 是否假定设备(端点)没有受到威胁?

【问题讨论】:

    标签: security onesignal


    【解决方案1】:

    OneSignal doesnt see setExternalId misuse as a security concern,因为通知不应包含敏感信息,如其 webpush SDK github 中所述。

    他们对external_id 所做的唯一建议是其独特性和复杂性。

    【讨论】:

      【解决方案2】:

      客户只有知道订阅者的OneSignal player_id,才能调用getTags、getEmail、getExternalId等方法。由于 player_id 只有客户端知道,因此无法冒充用户或获取此数据。

      即便如此,OneSignal 还是建议不要将敏感数据存储在标签或其他字段中。

      【讨论】:

      • 如果您拥有自己的设备并因此拥有它的 player_id 是可能的。
      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2010-12-24
      • 1970-01-01
      • 2016-06-16
      • 2018-11-09
      • 2014-08-19
      • 2011-11-08
      • 2022-01-16
      相关资源
      最近更新 更多