【发布时间】:2020-04-07 17:51:57
【问题描述】:
我有几个关于 OneSignal 通知服务的问题。我一直在阅读文档,但有几件事在安全方面困扰着我,或者我遗漏了一些东西。
据我了解,Javascript 客户端使用 Web Push SDK 与 OneSignal API 通信的过程。要实例化通信,它需要 appId 参数,该参数可供客户端使用。
之后,客户端可以调用 getExternalId、getEmail、getTags 方法来潜在地收集用户敏感数据。一旦在其他一些设备方法上拥有该数据,就可以使用收集的数据调用 setExternalId 和 setTags 来模拟其他用户并接收定向到他们的通知(至少那些使用设置参数路由的通知)。
OneSignal 是否假定设备(端点)没有受到威胁?
【问题讨论】: