我正在研究Eddystone项目,用户可以根据手机上的Eddystone网址接收个人信息(因而在某种程度上保密)。没有涉及应用程序,因此用户将被定向到将显示信息的网页(基于eddystone URL)。
我想知道这个安全问题:没有应用程序,我猜不能使用EID - 这是正确的(或者通知中是否可以访问EID并可以作为参数传递到目标网站)?因此,我认为任何具有url名称的人都可以访问此信息,这将成为一个问题,因为您可以使用该服务废弃每个用户的数据,并使用一个简单的脚本,不时地读取该网站。
如果信标中的网址可以即时更改为www.abc.com/some-random-number,则可能有办法绕过它。这可行,但这意味着必须经常更新信标网址。
有没有人知道API附带的任何信标都允许我从Windows机器上执行此操作(我知道制造商有可以更改信标数据的应用程序,但这不是一个选项,因为这应该在没有用户干预的情况下运行) ?例如。我想到的是一个USB信标,可以从Windows上的一小块软件访问,改变网址。
或者有人对如何处理这个问题有更好的了解吗?
谢谢,
克里斯
答案 0 :(得分:1)
如果您要向网站访问者展示一些个人信息和机密信息,我认为唯一的办法是在网站上进行某种登录。随机更改信标广播的URL地址的能力将无济于事,因为您需要一种方法将随机网站地址连接到访问它的个人。 EID是一种区分哪些应用程序可以接收特定信标信息的方法 - 它不会检查哪个个人正在使用该应用程序。 (而且你只能将它与应用程序一起使用,至少目前如此)。