Допустим, некоторые злоумышленники смогли узнать FCM «Ключ сервера» для какого-либо проекта Firebase (который отображается в «Обзоре проекта» -> «Настройки» -> «Обмен сообщениями в облаке» -> «Ключ сервера»).Обратите внимание, что он выучил только этот ключ, но никаких токенов FCM.
Какие разрушительные действия он может совершить, используя только этот ключ?В частности, может ли он отправить push-уведомление на на все мобильные устройства , для которых установлено соответствующее мобильное приложение?(то есть соответствует этому проекту Firebase)
Согласно документации Firebase , отправка push-уведомлений на несколько устройств возможна в следующих случаях:
Группировка токенов FCM: нам не нужно об этом беспокоиться, поскольку злоумышленник не знает никаких токенов FCM.
Использование тем: если мы (т.е. сервер)пока не подписывались ни на какие устройства, нам также не нужно беспокоиться об этой ситуации (поскольку злоумышленник не может указать нужную тему для отправки).
Итак, похоже,отправка на все мобильные устройства для злоумышленника невозможна.Правильно ли я?
PS Мое предположение верно, только если злоумышленник не может получить список всех токенов FCM для своего ключа сервера.Он действительно не может этого сделать?