Firebase предоставляет серверную часть базы данных, чтобы разработчики могли сосредоточиться на коде на стороне клиента.
Так что, если кто-то возьмет мой firebase uri (например, https://firebaseinstance.firebaseio.com), то разработайте его локально .
Затем смогут ли они создать другое приложение на моем экземпляре Firebase, зарегистрироваться и пройти аутентификацию, чтобы прочитать все данные моего приложения Firebase?
Ответы:
@ Франк ван Пуффелен,
Вы упомянули фишинговую атаку. На самом деле есть способ обезопасить это.
Если вы войдете в консоль GoogleAPI API Manager, у вас есть возможность заблокировать, от какого HTTP-реферера ваше приложение будет принимать запросы.
Это должно позволить использовать ваше приложение только домену из белого списка.
Это также описано здесь, в контрольном списке запуска firebase: https://firebase.google.com/support/guides/launch-checklist
Возможно, документация по firebase может сделать это более заметным или автоматически заблокировать домен по умолчанию и потребовать от пользователей разрешения доступа?
Тот факт, что кто-то знает ваш URL, не представляет угрозы для безопасности.
Например: у меня нет проблем с тем, чтобы сообщить вам, что мой банк размещает свой веб-сайт по адресу bankofamerica.com и использует там протокол HTTP. Если вы также не знаете учетные данные, которые я использую для доступа к этому сайту, знание URL-адреса не принесет вам никакой пользы.
Для защиты ваших данных ваша база данных должна быть защищена с помощью:
Все это описано в документации Firebase по безопасности и правилам , которую я настоятельно рекомендую.
При наличии этих правил безопасности единственный способ, которым чужое приложение может получить доступ к данным в вашей базе данных, - это скопировать функциональность вашего приложения, чтобы пользователи вошли в систему. свое приложение вместо вашего и войти в систему / прочитать / записать в ваша база данных; по сути фишинговая атака. В этом случае в базе данных нет проблем с безопасностью, хотя, вероятно, пришло время привлечь некоторые органы.
https://tinderclone.firebaseio.com/и https://tinderclone.firebaseio.com/profiles.json. Это настоящая база данных firebase. Можете ли вы разработать на его основе приложение, создав форму регистрации и форму входа по электронной почте. Поскольку мое приложение позволяет любому регистрироваться по электронной почте, сможете ли вы прочитать все данные после регистрации? Я задам вам еще один вопрос позже. Спасибо
".read": falseне позволит никому увидеть данные. Вы, вероятно, захотите позволить немного больше, но все зависит от вашего варианта использования. Защита данных описана в документации Firebase по безопасности и правилам .
Что касается белого списка Auth для мобильных приложений, где доменное имя неприменимо, Firebase имеет
1) SHA1 fingerprintдля приложений Android и
2) App Store ID and Bundle ID and Team ID (if necessary)для ваших приложений iOS
который вам нужно будет настроить в консоли Firebase.
С этой защитой, поскольку проверка выполняется не только в том случае, если у кого-то есть действующий ключ API, домен аутентификации и т. Д., Но и из наших авторизованных приложений и domain name/HTTP referrer in caseиз Интернета .
Сказал, что нам не нужно беспокоиться, если этот ключ API и другие параметры подключения будут доступны другим.
Для получения дополнительной информации https://firebase.google.com/support/guides/launch-checklist.