質問編集履歴
2
追加
test
CHANGED
File without changes
|
test
CHANGED
@@ -38,17 +38,31 @@
|
|
38
38
|
|
39
39
|
であるとします。
|
40
40
|
|
41
|
-
この場合、Postsの一覧をGETする時、他人の
|
41
|
+
この場合、Postsの一覧をGETする時、他人のUIDもGETできるわけですが、これを自分自身のrequest.auth.uidとして利用すれば、他の人のUsersのドキュメントにアクセスできてしまうのではと懸念しています。
|
42
42
|
|
43
43
|
|
44
44
|
|
45
|
-
request.auth.uidに当たるauthオブジェクトをクライアント側で書き換えることができない?ならば、他人の
|
45
|
+
request.auth.uidに当たるauthオブジェクトをクライアント側で書き換えることができない?ならば、他人のUIDを知っていても、
|
46
46
|
|
47
47
|
そのuidをrequest.auth.uidの中に入れてリクエストすることはできないので、問題ないと思います。
|
48
48
|
|
49
49
|
|
50
50
|
|
51
|
+
また、firebase認証を利用しgoogleなどのプロバイダーからGETできるUIDをUsersドキュメントのIDにした時に、
|
52
|
+
|
53
|
+
上記のようにPostsの一覧をGETする時、ユーザーのgoogleアカウントのUIDが露出したことになる?が、
|
54
|
+
|
55
|
+
ユーザーのgoogleアカウントの脆弱性が高まるなど、プライバシー、セキュリティ的にも問題ないのか?
|
56
|
+
|
57
|
+
|
58
|
+
|
59
|
+
**簡潔に言うと、**
|
60
|
+
|
51
|
-
**
|
61
|
+
**他人のUIDをGetできるようなデータ構造はセキュリティ的に問題ないか?**
|
62
|
+
|
63
|
+
**他人のUIDをGetできるようなデータ構造は利用しているプロバイダー含むユーザーアカウントの脆弱性が高まるのではないか?**
|
64
|
+
|
65
|
+
**の2点です。**
|
52
66
|
|
53
67
|
|
54
68
|
|
1
タイポ
test
CHANGED
File without changes
|
test
CHANGED
@@ -42,7 +42,7 @@
|
|
42
42
|
|
43
43
|
|
44
44
|
|
45
|
-
request.auth.uidに当たるauthオブジェクトをクライン
|
45
|
+
request.auth.uidに当たるauthオブジェクトをクライアント側で書き換えることができない?ならば、他人のuidを知っていても、
|
46
46
|
|
47
47
|
そのuidをrequest.auth.uidの中に入れてリクエストすることはできないので、問題ないと思います。
|
48
48
|
|