Chrome to WP7 — полезное приложение, позволяющее отправлять ссылки с ПК на WP-смартфон через сервер.
Приложение разработано Дэйвом Амента (Dave Amenta), сервис бесплатен.
Мартани Факхроу (Martani Fakhrou) пожаловался на модель безопасности приложения, которая основана на скрытии ID устройства. Он пишет:
В то время, как приложение Google Chrome to Phone использует для аутентификации пользователя OAuth и его аккаунт в Google, Send to WP7 генерирует 6-значный hex-номер на основе случайного GUID, определяемого при первом запуске приложения. Этот код затем используется расширением при отправке данных на сервер daveamenta.com, а данные оттуда передаются на клиент телефона.
На сервере не происходит никакой валидации и проверки, кто кому что отсылает. Всё проверяется только случайным кодом, поэтому безопасность приложения под большим вопросом.
Короче, злоумышленник может отправлять на сервер случайные ID, записывать те, которые принадлежат реальным людям и затем спакмить их, сколько ему захочется.
В реальности, конечно, икто не будет тратить время, перебирая 16777216 возможных вариантов кода для того, чтобы рассылать спам немногочисленным пользователям этого приложения, однако Мартани советует Дэйву использовать тот же способ верификации, который применяется в Google Chrome to Phone.
Более подробно читайте .
