回答編集履歴
3
s
test
CHANGED
|
@@ -11,7 +11,7 @@
|
|
|
11
11
|
|
|
12
12
|
ちょっと考えればわかる至極当たり前の話ですが、そのwebアプリのアクセス権設定の限りにおいて、そのアプリで操作できるように実装されているすべてのことが可能です。
|
|
13
13
|
|
|
14
|
-
たとえばそのGASで作ったwebアプリが、デプロイURLに適切なパラメータを付加してGET
|
|
14
|
+
たとえばそのGASで作ったwebアプリが、デプロイURLに適切なパラメータを付加してGETリクエストを送れば特定のスプレッドシートの内容をJSON形式で返すような作りになっていた場合、
|
|
15
15
|
ある人が、そのデプロイURLとパラメータさえ知っていれば、自由にスプレッドシートの内容を取り出せることになります。
|
|
16
16
|
|
|
17
17
|
①ともかかわりますが、
|
2
ws
test
CHANGED
|
@@ -17,7 +17,7 @@
|
|
|
17
17
|
①ともかかわりますが、
|
|
18
18
|
> 次のユーザーとして実行:自分
|
|
19
19
|
> アクセスできるユーザー:全員
|
|
20
|
-
これがすべての
|
|
20
|
+
これがすべての元凶です。
|
|
21
21
|
|
|
22
22
|
(ログイン画面とかユーザー管理とか面倒くさそうだから作りたくない、という気持ちはすごくわかりますけどね)
|
|
23
23
|
|
1
w
test
CHANGED
|
@@ -14,6 +14,13 @@
|
|
|
14
14
|
たとえばそのGASで作ったwebアプリが、デプロイURLに適切なパラメータを付加してGETメソッドを送れば特定のスプレッドシートの内容をJSON形式で返すような作りになっていた場合、
|
|
15
15
|
ある人が、そのデプロイURLとパラメータさえ知っていれば、自由にスプレッドシートの内容を取り出せることになります。
|
|
16
16
|
|
|
17
|
+
①ともかかわりますが、
|
|
18
|
+
> 次のユーザーとして実行:自分
|
|
19
|
+
> アクセスできるユーザー:全員
|
|
20
|
+
これがすべての頑強です。
|
|
21
|
+
|
|
22
|
+
(ログイン画面とかユーザー管理とか面倒くさそうだから作りたくない、という気持ちはすごくわかりますけどね)
|
|
23
|
+
|
|
17
24
|
セキュリティを神経質に気にするなら、少なくとも無料・個人版のGASは使わない方がいいでしょう。(では有料版・企業版なら大丈夫なのか、どうすれば大丈夫にできるのかという点については、本質問の対象外のため回答を控えます)
|
|
18
25
|
|
|
19
26
|
|