Needs Fix: Upload / Download file directory traversal Vulnerability

ファイルアップロードやダウンロードの際に Admin SDK で実装した特権的な API を使ってアクセスするフォルダを強制しているが、ファイル名によってはダウンロード時に

../targetUID/secret.txt

といったハックをされたり、アップロード時に

../targetUID/malware.exe

といった攻撃をされる可能性がある。

これはファイル名のサニタイズを行うことで容易に対応ができるが、サニタイズ処理に不備（ライブラリの脆弱性も含む）が混入する可能性も考えると、ファイルアクセスはフロントエンドで実装して Cloud Storage のセキュリティ・ルールに従わせる方針に転換した方が良いだろう。

fujiokayu / S4