HenriKorver
commented
8 months ago Als je als client abonnementen opvraagt van de NRC, dan krijgt je alleen de abonnementen terug van jezelf. Zo is het ook geïmplementeerd in de referentie-implementatie. Dus er is geen beveiligingsrisico. Het klopt dat dit niet duidelijk beschreven staat in de OAS , we zullen dit aanscherpen.
michielverhoef
In de response op het bevragen van de NRC - abonnement wordt een token meegegeven in het veld auth. Stel dat een applicatie een ClientID nodig heeft met rechten op de NRC om een abonnement aan te maken en/of een notificatie. Dan kan deze applicatie middels genoemde bevraging tevens alle tokens opvragen van alle applicaties met een abonnement. Dit is een beveiligingsrisico. Een goede eerste oplossing zou kunnen zijn dit veld te verwijderen uit de response.