4

かなりのブードゥー教の後、ついにスコア API が機能するようになりました。に設定Enhanced Auth Dialogする必要があるdisabledか、Facebook があなたのpublish_actions許可を無視することが判明しました。他の誰かが苦労している場合に備えて、注意してください。

ただし、私は完全に Javascript API で作業しています。サーバー側のスクリプトは使用できません。

スコアを公開する唯一の方法は、アプリ アクセス トークンを使用することです。それらの 1 つを取得する唯一の方法は、アプリ シークレットを使用することです。これは、世界が確認できるように JavaScript コードに含まれている必要があります。それは正確にどれほど悪いですか?

TBH 誰かが私の小さなピンポン スタイルのゲームのスコアを偽装してもかまいません。彼らにとって良いことです。彼らとその友達だけがそれを見ることができます。ほんの少しの楽しみです。しかし、アプリ シークレットが公開された場合、正確には何が問題になるのでしょうか? 誰かがアプリケーション全体を乗っ取ることができますか? それとも、ちょっとしたミニゲームでうまくいかないだけの悪い習慣ですか?

それはすべて純粋なjavascript SDKなので、ユーザーアクセストークンによってのみ機能するように見えるので、私の最初の直感は大丈夫です。でも聞いてみようと思ったのに…!

4

1 に答える 1

1

他にどのような権限を使用していますか?「publish_stream」を使用している場合は、その後に発生する可能性のあるシェナニガンを想像できると思います。さらに悪いことに、ユーザーがあなたの公開鍵と秘密鍵の両方を持っている場合(彼らはそうするでしょう)、彼らはあなた自身をあなたとして識別するなりすましアプリケーション全体を作成する可能性があります!

Facebookの「ドメイン」オプションはこれを防ぐはずですが、攻撃者がXSS攻撃を行う可能性がある場合、ゲームを装った悪意のあるアプリを作成する可能性があります。

アプリ認証トークンを処理することのみを目的として、Google App Engineを使用して非常に簡単なものを作成することを検討しましたか?

于 2011-10-27T20:07:43.507 に答える