dev_id - это же публичный ключ. Т.е. теоретически, кто-то может вытащить мой dev_id из исходника страницы и шарить по моим каналам. Верно?
Ну т.е. вставить запись этот «кто-то» не сможет, т.к. запрос на вставку отправляется бэкэнда с закрытым ключом. Но вот прочитать этот «кто-то», вероятно, сможет. Или ошибаюсь?
Да прочитать сможет. Но только если он знает на какой канал надо подписаться, вы ведь можете отправлять сообщения в каналы имя которых сообщите нужной группе пользователей сами после их авторизации, а не укажите в общедоступном коде страниц.
Или ещё если вы будете рассылать сообщения не через канал, а как личные сообщения на основе авторизации на комет сервере то тогда вообще без авторизации не кто данные не получит.