个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
作为我们解决方案的一部分,我们希望在每个客户站点部署一个 FCM“应用程序服务器”。每个客户站点都有自己的用户使用我们的应用程序使用他们自己的设备。但是,我们希望确保如果其中一个客户站点遭到破坏,攻击者无法滥用 FCM“应用程序服务器”(例如,通过向所有客户站点的所有设备发送通知)。
我们考虑为每个客户站点生成唯一的服务器 key ,而不是在所有客户站点之间共享凭据。这样一来,如果一个客户站点遭到破坏,我们可以禁用该服务器 key 并停止发送任何更多 FCM 通知。
问题:我们能否确定攻击者无法向所有设备发送全局通知?
最佳答案
Instead of sharing credentials between all customer sites, we are thinking of generating a unique server key for each customer site. That way if one customer site is compromised, we can disable that server key and stop any more FCM notifications from being sent.
如果“我们正在考虑为每个客户站点生成一个唯一的服务器 key ”,您的意思是您只需为每个客户站点创建一个 Firebase 项目,那么我认为这是正确的方法。
Can we be sure that an attacker cannot send global notifications to all devices?
应用程序可以通过实现 getToken(authorizedEntity, scope) 来接收来自不同发件人的消息,这将为每个发件人生成不同的 token 。为了否定此操作,您可以简单地调用deleteToken(authorizedEntity, scope) ( my reference )。
这将使相应发件人的 token 无效(这是他们可能拥有的 token ,并且应该是他们应用服务器上唯一的 token ),这将自动禁止他们接收到您的应用程序的消息。
因此,只要您能够将他们作为有效发件人从您的应用中删除,就万事大吉。
Assuming an attacker has a server key and access to one customer site "app-server", can they get a list of all the registered devices?
这取决于应用服务器的实现方式。如果客户的App服务器只是用来发送消息,而token是存放在别处的,那么很可能不会。没有 API 可以根据服务器 key (see #1 here) 在服务器端为应用程序检索注册 token 。
Is there a default notification "topic" that sends to all devices? (e.g. /topic/all or /topic/global). If so, can we disable that default topic?
没有。可以选择通过 Firebase 通知控制台向特定应用程序发送通知,但如果该应用程序未授权与该项目对应的发件人 ID,它将不会收到来自该项目的任何消息。我在发帖前测试了这种行为,所以我确信它是这样工作的。
关于firebase - FCM 安全 : Prevent multiple senders from pushing notifications to all devices?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43523967/
26
4
0
我正在尝试设计我的输入:文件。以下 SO 问题让我完成了 95% 的任务。区别在于我使用的是 HTML5 multiple=multiple 属性。 How to style "input file"
我一直在进行一项实验,其中多个调查参与者使用可穿戴技术聆听多首音乐来跟踪多条信息,两个例子是 BPM(心率)和 T(体温)。 目标是衡量每首音乐(以用户反馈为特征)对人类情感的影响。 目前,所有数据都
我使用 jquery 添加/删除输入 我使用append为日期/收入添加多个Tr 我还使用另一个附加来添加多个 td 以获取同一日期 Tr 中的收入 我添加多个日期输入,并在此表中添加多个收入输入 我
在 Android 中,有一种方法可以为项目中的所有模块生成签名的 APK。例如。我有以下项目 Project -- Library Module -- Module 1 -- Modul
我有一个用于网站展示的系统。 展览数据可能来自差异表中的多个数据。 喜欢这个设计: Table [ExhibitionType] used for differentiate category. Ta
关闭。这个问题是opinion-based .它目前不接受答案。 想要改进这个问题? 更新问题,以便 editing this post 可以用事实和引用来回答它. 关闭 8 年前。 Improve
我正在使用 UILocalnotification...收到通知时,当应用程序处于事件模式时我打开 viewcontroller...但是如果同时收到多个通知...我如何打开多个 viewcontro
我遇到的问题是一个策略浏览器游戏,它有 7 种类型的值。问题如下: 我在 $_POST 中获得了 7 个不同的值,包括从索引 unit_1 到索引 unit_7。这 7 个值是 0 到 20 之间的整
这个问题已经有答案了: Search Large Text File for Thousands of strings (3 个回答) 已关闭10 年前。 我想在多个文件上“grep”多个正则表达式。
我经常对如何在我的应用程序中解决这个问题感到矛盾。我使用了很多选项,包括: 一个通用的多选 - 这是我最不喜欢和最很少使用的选项。我发现可用性非常糟糕,一个简单的误点击就会毁了你所有的辛勤工作。 “自
以下是 couchbase 中的示例文档之一。 { "name":"abc", "friends":["a","b","c"], "bestfriends":["x","y","z"] }
我有 4 张 table 。 表组 | ID | NAME | 1 Premium 2 Silver 表用户 | ID | group_id | NAME | 1
我正在开发一个使用第三方服务(Facebook、Google 等)对用户进行身份验证的应用程序。我为每个用户提供一个内部 ID(uuid v4),该 ID 与他们的第 3 方 ID 相关联。现在,我的
我是 bicep 新手,一直在努力实现 Bicep 脚本来部署具有许多主题和订阅的 Azure 服务总线。 我添加的每个主题都有可变数量的订阅(例如,通知主题可能有 3 个订阅,但分析主题可能有 2
我是 bicep 新手,一直在努力实现 Bicep 脚本来部署具有许多主题和订阅的 Azure 服务总线。 我添加的每个主题都有可变数量的订阅(例如,通知主题可能有 3 个订阅,但分析主题可能有 2
我必须创建一个大型数据库。它将保存来自 100 多个设备的数据,并不断更新数据库。每 10 秒,每个设备都会更新数据库中的一行。是为每个设备数据建立一个单独的表还是将数据与设备 ID 放在同一个表中更
我需要在 Activity 开始时显示“正在加载”进度对话框,然后在加载完成后显示一些内容。在我的 onresume 中,我有类似这样的代码: loadThread = true; Thread sh
我有一个 html 表单 当我提交表单时,假设对于 id = 1,数量为 5 或 对于 id = 3,数量为 8。如何在java脚本或jquery中获取这些值并将这些信息提交到服务器?我
我正在创建一个 Mozilla 扩展程序,通过单击“转换按钮”(标签:转换)将网页内容转换为其他语言它的标签被转换为英文,以便单击该按钮(标签:英文)内容被转换为原始形式 我尝试为每个选项卡设置属性“
我正在尝试根据 进行搜索 我通过运行代码从 select 中获取值: for($i=0;$i= '$age_from' AND users.user_age = '$age_from' AND u
我是一名优秀的程序员,十分优秀!