我们的团队使用微软机器人框架创建了一个聊天机器人。(Nodejs(,聊天机器人由组织的租户管理员通过其清单部署在团队中。
我有几个关于证券的问题-(问题只是与团队机器人有关(
1( 恶意用户模拟团队通道端点有多容易。?(机器人在OnMessage活动处理程序中使用了3层验证。(Graph Api和其他一些特定于组织的验证(但问题是,我们正在使用teamsinfo.getmembers(context(API调用从团队中获取用户的电子邮件id,以进行这些验证。
2( teamsinfo.getmembers(上下文(是否易受攻击?任何恶意用户都能提供任何现有真实用户的重复精确回合上下文吗?
这是一个有趣的问题,我认为提供恶意turnContext对任何攻击者来说都不容易。请求以加密格式发送到运行各种安全级别的机器人程序框架服务。如果你有一个出站防火墙阻止从机器人程序到互联网的流量,你可以根据标准将URL列入白名单。您还可以在Bot中实现身份验证,以添加更多的安全层。您可以查看Bots的安全指南。