Firebase cung cấp back-end cơ sở dữ liệu để các nhà phát triển có thể tập trung vào mã phía máy khách.
Vì vậy, nếu ai đó lấy đi tiểu firebase của tôi (ví dụ, https://firebaseinstance.firebaseio.com) thì hãy phát triển trên nó cục bộ .
Sau đó, liệu họ có thể tạo một ứng dụng khác từ phiên bản Firebase của tôi, đăng ký và tự xác thực để đọc tất cả dữ liệu của ứng dụng Firebase của tôi không?
Câu trả lời:
@Frank van Puffelen,
Bạn đã đề cập đến cuộc tấn công lừa đảo. Thực sự có một cách để đảm bảo điều đó.
Nếu bạn đăng nhập vào bảng điều khiển Trình quản lý API của googleAPIs, bạn có một tùy chọn để khóa liên kết giới thiệu HTTP mà ứng dụng của bạn sẽ chấp nhận yêu cầu từ đó.
Điều này sẽ chỉ cho phép miền trong danh sách trắng sử dụng ứng dụng của bạn.
Điều này cũng được mô tả tại đây trong danh sách kiểm tra khởi chạy firebase tại đây: https://firebase.google.com/support/guides/launch-checklist
Có lẽ tài liệu về firebase có thể làm cho điều này hiển thị nhiều hơn hoặc tự động khóa miền theo mặc định và yêu cầu người dùng cho phép truy cập?
Thực tế là ai đó biết URL của bạn không phải là một rủi ro bảo mật.
Ví dụ: Tôi không gặp vấn đề gì khi nói với bạn rằng ngân hàng của tôi lưu trữ trang web của nó tại bankofamerica.com và nó sử dụng giao thức HTTP ở đó. Trừ khi bạn cũng biết thông tin đăng nhập mà tôi sử dụng để truy cập trang web đó, nếu không việc biết URL không có lợi cho bạn.
Để bảo mật dữ liệu của bạn, cơ sở dữ liệu của bạn phải được bảo vệ bằng:
Tất cả điều này được đề cập trong tài liệu Firebase về Bảo mật và Quy tắc , mà tôi thực sự khuyên bạn nên sử dụng.
Với các quy tắc bảo mật này, cách duy nhất để ứng dụng của người khác có thể truy cập dữ liệu trong cơ sở dữ liệu của bạn là nếu họ sao chép chức năng của ứng dụng của bạn, yêu cầu người dùng đăng nhập vào ứng dụng của họ thay vì của bạn và đăng nhập / đọc từ / ghi vào cơ sở dữ liệu của bạn; thực chất là một cuộc tấn công lừa đảo. Trong trường hợp đó, không có vấn đề bảo mật nào trong cơ sở dữ liệu, mặc dù có lẽ đã đến lúc cần một số cơ quan chức năng vào cuộc.
https://tinderclone.firebaseio.com/và https://tinderclone.firebaseio.com/profiles.json. Chúng là cơ sở dữ liệu firebase thực. Bạn có thể phát triển một ứng dụng từ nó, tạo một biểu mẫu đăng ký và biểu mẫu đăng nhập bằng email. Vì ứng dụng của tôi cho phép bất kỳ ai đăng ký bằng email, sau khi đăng ký, bạn có thể đọc tất cả dữ liệu không? Tôi sẽ hỏi bạn một câu hỏi khác sau. Cảm ơn
".read": falsesẽ ngăn không cho bất kỳ ai xem dữ liệu. Bạn có thể muốn cho phép nhiều hơn thế một chút, nhưng tất cả phụ thuộc vào trường hợp sử dụng của bạn. Bảo mật dữ liệu được đề cập trong tài liệu Firebase về Bảo mật và Quy tắc .
Liên quan đến danh sách trắng Auth cho ứng dụng dành cho thiết bị di động, trong đó tên miền không được áp dụng, Firebase có
1) SHA1 fingerprintcho các ứng dụng Android và
2) App Store ID and Bundle ID and Team ID (if necessary)cho các ứng dụng iOS của bạn
mà bạn sẽ phải định cấu hình trong bảng điều khiển Firebase.
Với sự bảo vệ này, vì việc xác thực không chỉ là nếu ai đó có khóa API hợp lệ, miền Auth, v.v., mà còn, nó đến từ các ứng dụng được ủy quyền của chúng tôi và domain name/HTTP referrer in casecủa Web .
Nói rằng, chúng tôi không phải lo lắng nếu khóa API này và các thông số kết nối khác bị lộ cho người khác.
Để biết thêm thông tin, https://firebase.google.com/support/guides/launch-checklist