Arc, herhangi bir web sitesini özel CSS ve Javascript ile özelleştirmenize olanak tanıyan Boosts adlı bir özelliğe sahiptir. Web sitelerinde keyfi Javascript çalıştırmanın potansiyel güvenlik endişeleri olduğundan, özel Javascript içeren Boosts’ları üyeler arasında paylaşılabilir yapmamaya karar verdik, ancak yine de kendi Boosts’larınızın cihazlarda kullanılabilir olması için bunları sunucumuzla senkronize ettik.
Firebase’ı belirli Arc özellikleri için arka uç olarak kullanıyoruz (bunun hakkında daha fazla bilgi aşağıda) ve hem cihazlar arasında paylaşım hem de senkronizasyon için Boost’ları kalıcı hale getirmek için kullanıyoruz. Ne yazık ki Firebase ACL’lerimiz (Erişim Kontrol Listeleri, Firebase’ın uç noktaları güvence altına alma şekli) yanlış yapılandırılmıştı ve bu da kullanıcıların Firebase isteklerinin bir Boost oluşturulduktan sonra onun yaratıcı kimliğini değiştirmesine izin veriyordu. Bu, herhangi bir Boost’un herhangi bir kullanıcıya atanmasına izin verdi (kullanıcı kimliklerine sahip olduğunuz sürece) ve böylece onlar için etkinleştirildi ve bu da Boost’un etkin olduğu web sitesinde özel CSS veya JS’nin çalışmasına yol açtı.