Closed fujiokayu closed 3 years ago
79f95fcf09e414bf5cba5519e0ca3feb3c6dccab で実装し、https://github.com/fujiokayu/lobster/issues/6 の見解と同じく close する
クライアントサイドの制御だから改変することで half open attack が成立するはず。 ただし攻撃するには予め招待済みの e-mail アドレスを知っている必要があり、真正なユーザーがサインアップすると成立しなくなるため、攻撃として成立する可能性は非常に低い。
対策するとすれば、upload API で firebase.auth().currentUser.emailVerified()
を検証することで、サインインできたとしても無害化することができる。
Firebase を利用している場合に起こり得る問題だと思うので、本質的には Firebase auth や各種 Security Rules が対応しておくべき問題にも思える。
Security Rules で auth.token.email_verified を検証すればこれも対策が可能
email で登録できるが、email の真正性検証をしていないのでメール送信 + 確認のフローが必要