search

servicosgovbr / manual-roteiro-integracao-login-unico

Roteiro de Integração do Login Único para os órgãos
https://manual-roteiro-integracao-login-unico.servicos.gov.br
43 stars 16 forks source link

Criação de CPF válido em Produção para fins de teste #28

Open mayconight opened 1 year ago

mayconight commented 1 year ago

Prezados, hoje temos um problema no lançamento de aplicativos para dispositivos móveis que utilizam a plataforma de autenticação Gov.BR, tanto para a App Store (Apple) quanto para a Play Store (Android): é necessário informar um usuário e senha de produção válidos para o acesso. Essa informação fica exposta nas lojas, o que traz risco grande de uso indevido e vulnerabilidade ao usuário que insere esses dados.

É possível criar (ou já existe) um CPF com senha em ambiente de produção, que autentique na plataforma e que seja possível de ser utilizado nesses casos?

Obs.: não sei se este é o canal correto para esse tipo de sugestão.

weltonrodrigo commented 1 year ago

Essa informação fica exposta nas lojas, o que traz risco grande de uso indevido e vulnerabilidade ao usuário que insere esses dados.

como assim?

mayconight commented 1 year ago

@weltonrodrigo o que eu quis dizer é que qualquer pessoa com acesso ao ambiente de gerenciamento da loja e com um perfil para manter um aplicativo específico nela (normalmente um dev) consegue ver qual o usuário e senha utilizado.

Não sei se você conhece os ambiente das lojas de aplicativos, mas, para elas liberarem um aplicativo para estar disponível aos usuários, eles fazem um teste de fumaça (dentre outros). Todo aplicativo que restringe funcionalidades através de usuário/senha precisa fornecer ao menos um usuário/senha para ambiente de produção para o teste de fumaça.

Conforme documentação da Play Store: https://support.google.com/googleplay/android-developer/answer/9859455?hl=pt-BR , na seção "Acesso de apps".

Na loja:

image (essa é a parte que fica exposta no ambiente de gerenciamento da loja)

O que eu estou sugerindo é a criação de um CPF válido para produção e que consiga receber tokens válidos para os serviços que usem autenticação, mas que não seja uma pessoa física. Algo como um 999.999.999-99 e senha fixa (ou por cliente, dependendo de como vocês pensarem).

vitortoigo commented 1 year ago

Como você faz isso hoje? Passa os seus dados pessoais mesmo?

mayconight commented 1 year ago

@vitortoigo sim

mayconight commented 9 months ago

@vitortoigo , alguma evolução sobre isso? TODOS os clientes que usam a autenticação do Gov.BR e façam distribuição de aplicativos nas lojas tem esse problema (imagino que algumas centenas atualmente). É uma exigência tanto da Play Store (Android) quanto da App Store (Apple).