我有几个关于OneSignal通知服务的问题。我一直在阅读文档,有几件事在安全方面困扰着我,或者我遗漏了一些东西。
据我所知,Javascript客户端使用Web Push SDK与OneSignal API进行通信。要实例化通信,它需要客户端可用的appId参数。
之后,客户端可以调用getExternalId、getEmail、getTags方法来潜在地收集用户敏感数据。一旦在其他一些设备上拥有这些数据,就可以使用收集的数据调用setExternalId和setTags方法,以模拟其他用户并接收指向他们的通知(至少是那些使用设置参数路由的用户(。
OneSignal是否认为设备(端点(未受到损害?
OneSignal不认为setExternalId滥用是一个安全问题,因为通知不应该包括敏感信息,正如他们的webpush SDK github中所述。
他们对external_id的唯一建议是它的独特性和复杂性。
如果客户端知道订阅者的OneSignal player_id,则只能调用getTags、getEmail、getExternalId和其他方法。由于player_id只有客户端知道,因此无法模拟用户或获取此数据。
即便如此,OneSignal建议不要将敏感数据存储在标签或其他字段中。