サーバー上のデータベースにユーザーのCookieを保存する
Appleプッシュ通知サービスを使用したいので、サーバーが必要です。このサーバーは、x分ごとにサイトをチェックする必要があります。
チェックする必要があるサイトがユーザーにログインを要求する方法。
したがって、ユーザーにWebブラウザでログインさせ、セッション情報(ユーザーのユーザー名やパスワードではない)を含むCookieをアップロードして、1つのテーブルであるデータベースに保存することはセキュリティ上問題ありません。 、「cookies」と「deviceToken」の2つのフィールドがあるため、Cookieはデバイストークンに関連付けられます。
次に、ユーザーの代わりに、ユーザーのCookieを使用してサーバーからサイトへのリクエストを実行し、サイトが変更された場合はユーザーに通知をプッシュします。
これは安全な方法ですか、他に誰もデータベースにアクセスしてCookieをダウンロードできないように、これをどのように正確に実装しますか?
また、ユーザーにプッシュ通知を有効または無効にする(オプトインでもオプトアウトでもない)かを選択させる限り、これは道徳的に問題ありませんか?
安全ですか?
電話からサーバーへの接続が暗号化されていない場合は、それらのセッションCookieを傍受できます。サーバーとWebサイトの接続が暗号化されていない場合、それらのセッションCookieを傍受できます。
電話でCookieを取得できる場合、攻撃者は同じデバイストークンを送信してその電話を装い、Cookieを取得して、そのユーザーのセッションを乗っ取ることができます。
そして最後に、Cookieがテーブルで暗号化されておらず、誰かがそのテーブルの内容を盗むことができる場合、ユーザーのすべてのセッションを一度にハイジャックできます。
道徳的に大丈夫ですか?
あなたが何をしているのか、どのようなリスクがあるのかをユーザーに説明しない限り。
ユーザーのCookieをコピーしてターゲットWebサイトに送信することにより、そのユーザーを装っています。あなた(またはそれらのCookieを盗むことができる他の誰か)がそのユーザーのセッションを乗っ取って、悪質なことをする可能性があります。
それは本当にその「ターゲット」ウェブサイトが何であるかに依存します。それが銀行であれば、これは間違いなく悪い考えです。 reddit.comの場合、これは妥当な場合があります。