OneSignal - проблемы безопасности

Question

У меня есть пара вопросов о службе уведомлений OneSignal. Я читал документацию и есть пара вещей, которые беспокоят меня в плане безопасности, или я что-то упускаю.

Как я понимаю, процесс Javascript клиент использует Web Pu sh SDK для связи с API OneSignal. Для создания экземпляра связи необходим параметр appId, который доступен клиенту.

После этого клиент может вызывать методы getExternalId, getEmail, getTags для потенциального сбора конфиденциальных данных пользователя. Получив эти данные на некоторых других устройствах, можно вызывать методы setExternalId и setTags с собранными данными для олицетворения другого пользователя и получения направленных ему уведомлений (по крайней мере тех, которые маршрутизируются с использованием установленных параметров).

OneSignal предполагает, что устройство (конечная точка) не взломано?

Answer 1

OneSignal не видит setExternalId неправильного использования в качестве проблемы безопасности , поскольку уведомления не должны содержать конфиденциальную информацию, как указано в их webpu sh SDK github.

Только рекомендации, которые они делают о external_id, - это его уникальность и сложность.

Answer 2

Клиенты могут вызывать getTags, getEmail, getExternalId и другие методы только в том случае, если они знают идентификатор игрока OneSignal player_id. Поскольку player_id известен только клиенту, невозможно выдать себя за пользователя или получить эти данные.

Несмотря на это, OneSignal рекомендует не хранить конфиденциальные данные в тегах или других полях.