Arc обладает функцией под названием «Boosts», которая позволяет настраивать любой веб-сайт с помощью пользовательских CSS и Javascript. Однако запуск произвольного Javascript на веб-сайтах может представлять угрозу безопасности. Поэтому мы решили, что Boosts с пользовательским Javascript не будут доступны для общего пользования среди участников. Тем не менее, мы синхронизируем их с нашим сервером, чтобы ваши Boosts были доступны на всех ваших устройствах.
Для реализации определенных функций Arc мы используем Firebase как бекенд (подробнее об этом ниже). Firebase также служит для сохранения и синхронизации Boosts между устройствами. К сожалению, наши ACL (Списки Контроля Доступа), обеспечивающие безопасность конечных точек в Firebase, были неправильно настроены. Это позволило пользователям изменять creatorID Boost после его создания. Таким образом, любой Boost мог быть приписан любому пользователю (если у вас был их userID), что приводило к активации кастомных CSS или JS на веб-сайте, на котором был активен данный Boost.
Источник: TheVerge
