Я понимаю, что безопасность стоит на первом месте в нашем списке дел, мы все нуждаемся в ней и хотим этого. Но я не понимаю, что может случиться, если я не использую правила безопасности в своей базе данных Firebase.

В настоящее время я разрабатываю приложение, и, как я это делал, я не реализовал правила безопасности для работы с приложением, поэтому для .read и .write просто установлено значение true. Пользователь должен войти в систему через Facebook, чтобы иметь возможность отправлять запросы.

Я попытался реализовать правила безопасности для работы с приложением, но у меня есть некоторые ошибки, так что действительно беспокоит, если так и останется? Есть ли способ отправить "плохой" запрос? Какие риски?

0
Antonios Tsimourtos 6 Сен 2016 в 13:47

3 ответа

Лучший ответ

Если для параметра write установлено значение true, любой, кто найдет URL-адрес вашего приложения, может удалить всю вашу базу данных. Они могут изменить все, что захотят. Android, iOS или веб-сайты, нет ничего безопасного, поскольку они смогут легко найти URL-адрес.

2
Mathew Berg 6 Сен 2016 в 11:09

Ваши правила Firebase обычно помогают вам позаботиться о безопасности на стороне сервера. и обеспечивает безопасность ваших данных и защиту базы данных от злоумышленников. Так что аутентификация пользователя никоим образом не защищает вашу базу данных. Поэтому, если у вас нет правил, вы можете потерять все свои данные. Аутентифицированный пользователь может просто использовать строчку кода «ref.remove ()», и все ваши данные в вашей базе данных исчезнут так легко. Поэтому, пожалуйста, всегда убедитесь, что вы написали правила безопасности, чтобы обезопасить вашу базу данных firebase.

0
Donsplash 8 Сен 2016 в 12:52

В дополнение к ответу Мэтью вы также захотите подумать о злоупотреблении своей базой данных.

Любой пользователь, который знает URL-адрес вашей базы данных, может:

  • записывать любые данные в свою базу. Таким образом, сбрасывая данные, они могут превысить квоту вашей базы данных и сделать ваше приложение непригодным для реальных пользователей.

  • использовать вашу базу данных для собственных нужд. Они съедят вашу квоту на пропускную способность. Как только ваша квота будет исчерпана, ваше приложение может стать непригодным для использования вашими фактическими пользователями.

Вышесказанное относится к планам Spark и Flame. Если ваш проект работает по тарифному плану, злоумышленники могут увеличить ваше использование и, следовательно, ваш счет.

1
Frank van Puffelen 6 Сен 2016 в 14:46