Sto costruendo un chatbot per la mia università in GroupMe, che è molto popolare lì. Il bot, ad esempio, consentirà agli utenti di inviare messaggi ai propri gruppi di chat come / menus (presupponendo che "/" sia il carattere che indica un comando al bot), o / busschedules, / calendar, ecc.
Il problema è che l'API bot di GroupMe si comporta in un modo che mi sembra molto brutto dal punto di vista della privacy. Invia una richiesta POST al server (mio) del bot per ogni nuovo messaggio inviato a qualsiasi gruppo in cui è installato il bot (non solo i messaggi che iniziano con "/"), non crittografato. Per una serie di motivi, non voglio trovarmi in una situazione in cui riesca a leggere i messaggi di un gran numero di studenti nella mia scuola. Questo non è così tanto che non ho la tentazione di leggerli, tanto quanto:
Non voglio essere invitato dalla mia scuola o dalla polizia a consegnare i messaggi inviati da uno studente, e Penso che se fornirò una ragionevole notifica che il bot vede ogni messaggio inviato, che potrebbe allontanare molti studenti dall'usare il bot. Non riesco a pensare a un modo per prevenire questo problema. Non penso che nessun tipo di crittografia lato server sia rilevante dal momento che ricevo i dati non elaborati (ad esempio, sul mio server non è possibile crearli in un secondo momento, quindi crittografarli in seguito è inutile).
L'unica soluzione che ho trovato è, per creare un secondo account AWS (sto usando beanstalk elastico, gateway API e Lambda), l'account è solo responsabile della verifica di ciascun messaggio e lo inoltra solo se inizia con "/", quindi chiedi a una persona fidata (ad esempio, il dipartimento IT dell'università) di cambiare e mantenere la password (un account AIM con i soli privilegi di fatturazione verrebbe creato per mantenere aggiornate le carte di credito). Per aumentare la sicurezza, è possibile impostare l'account AWS e lo script o il server Lambda per pubblicare un messaggio in un luogo pubblico ogni volta che qualcuno accede o se smette di ricevere richieste da GroupMe (indicando che qualcuno ha detto all'API di GroupMe di ignorare quel server).
Questa impostazione è comune? Ci sono altri modi per proteggere i messaggi delle persone in questo contesto a cui non sto pensando (ho provato a cercare su google ma non ho trovato nulla)?