向 Facebook 好友 user_ids 暴露安全问题?
Exposing Facebook friend user_ids a security issue?
将在客户端源代码中公开 应用程序特定的 Facebook 好友用户 ID 会使我的 app/my 应用程序用户暴露于任何 exploitable security/spam风险?
数据暴露示例:
我正在使用图表 API 的 user_friends 权限请求 Facebook 好友列表。此列表 returns 每个朋友的姓名和应用特定的用户 ID。
我允许用户 select 好友,好友会向他们发送应用内邀请。
识别此朋友的最佳方式是应用特定的用户 ID,这意味着它将出现在我的客户端源代码中。
我能想到的漏洞:
使用发送消息对话框 link (https://developers.facebook.com/docs/sharing/web#sendingmessages),可能允许某人使用我的应用程序 ID(可以通过 facebook 登录轻松找到)和公开的用户 ID 来预填充to 字段假装是我的应用程序,试图向他们的朋友发送垃圾邮件。
公开数据的解决方法:
将好友列表存储在数据库中 table 并为每个关系生成一个新的无害 ID。
我不想这样做,因为我每次都必须更新此列表,因为朋友列表会定期更改。
在客户端公开这些 App Scoped ID 是绝对安全的。您只能使用一个 ID 预填充发送对话框,并且该 ID 必须是您的朋友。所以你不能真正利用它。
ID 通常是安全的(应用程序 ID、用户 ID,...)。您只需要注意您的 App Secret 和 Access Tokens。
将在客户端源代码中公开 应用程序特定的 Facebook 好友用户 ID 会使我的 app/my 应用程序用户暴露于任何 exploitable security/spam风险?
数据暴露示例:
我正在使用图表 API 的 user_friends 权限请求 Facebook 好友列表。此列表 returns 每个朋友的姓名和应用特定的用户 ID。
我允许用户 select 好友,好友会向他们发送应用内邀请。
识别此朋友的最佳方式是应用特定的用户 ID,这意味着它将出现在我的客户端源代码中。
我能想到的漏洞:
使用发送消息对话框 link (https://developers.facebook.com/docs/sharing/web#sendingmessages),可能允许某人使用我的应用程序 ID(可以通过 facebook 登录轻松找到)和公开的用户 ID 来预填充to 字段假装是我的应用程序,试图向他们的朋友发送垃圾邮件。
公开数据的解决方法:
将好友列表存储在数据库中 table 并为每个关系生成一个新的无害 ID。
我不想这样做,因为我每次都必须更新此列表,因为朋友列表会定期更改。
在客户端公开这些 App Scoped ID 是绝对安全的。您只能使用一个 ID 预填充发送对话框,并且该 ID 必须是您的朋友。所以你不能真正利用它。
ID 通常是安全的(应用程序 ID、用户 ID,...)。您只需要注意您的 App Secret 和 Access Tokens。