Adalo 脆弱性について
知り合いのエンジニアにサービスをPWAで見てもらったところ、
このサービスのユーザー 一覧でデベロッパーツールから、メールアドレスが分かってしまうそうです。
エンジニア曰く、ネイティブアプリからでもメールアドレスは取得可能らしく、
対策とか問題の話は、過去にありましたでしょうか…?
回答者1
僕の方でも確認しました。原因は「Adalo側の設計ミス」で、データベースからデータを取り出すときに「全て」のデータを抽出するから、です。理想的には「データベースのどの項目を抽出するか」を設定できるようになっているべきなのですが…
現時点での回避策としては公開しても良いデータベースを別に作り、ユーザを特定しない「ユーザID」を「User」(メール、パスワードを含むDB)と「UserPublic」(ユーザ名など公開情報)の両方で持たせることで何とかできるかな、と。
質問者
なるほど〜〜〜!!
ログイン情報を持たせるサービスを作るとしたら、なかなかのトラップですね。。
データベース周り明るくなくて恐縮なのですが、
具体的にどうする感じですか、分かったりしますでしょうか…?
ex. airtable など別ツールにDB用意する。
ユーザーを特定しないDBを、Adalo内に用意する(どうやってやるんだ)
回答者1
どうやら外部データベースを使っても、全てのデータを抽出するみたいですね。Adalo公式にお願いして直してもらう以外方法は無いと思います。
質問者
夜分に調べていただきありがとうございます…!
となると、一旦AdaloでのSNS機能はナシで検討しようと思います!
(解決策は模索しますが)
回答者1
次のリリースでそのバグが修正されるとのことです!
ネイティブもウェブもアクセス先(http or httpsから始まる単なるウェブサイト)は同じですからね。Androidに関してはアプリのソースコードも復元できるので色んなセキュリティバグの宝庫だったりします :にこっ:
Adaloに報告した際に「既に修正済みでもうすぐ大型アプデを行う」との返事をもらったのでこの問題はすぐ解決するだろうと、自分は全然心配してません
