Firebase 帐户:潜在的服务攻击?
Firebase Accounts: potential service attack?
有人可以向我解释为什么坏人不能对我的应用程序的潜在新用户造成以下干扰吗?
坏演员:
从暗网或其他一些恶意来源获取电子邮件列表。
通过检查我的应用程序获取我的 Firebase 密钥 javascript -- 是的,我的应用程序被缩小了,但它仍然是可能的。
在本地浏览器上将恶意 javascript 代码插入到我的应用程序源中。恶意代码使用 Firebase sdk 和我的应用程序密钥为每个电子邮件地址创建帐户。
虽然坏人不可能获得对经过验证的帐户的访问权限;
尽管如此,创建这些帐户会向电子邮件所有者生成未经请求的电子邮件验证请求,并且还会干扰这些用户在实际想要注册时顺利创建帐户的体验。
我是不是漏掉了什么?
firebaser 在这里
正如 Dharmaraj 还评论的那样:您在应用中包含的 Firebase 配置用于标识代码应连接到的项目,它本身并不是任何一种安全机制。在
中阅读更多相关信息
您在问题中已经指出,创建大量帐户不会将用户数据置于风险之中,这确实也是正确的。在您的项目中创建帐户不会授予用户对您项目中其他用户帐户或数据的任何访问权限。如果您使用 Firebase 的后端服务之一,则应确保该服务的 security rules 也不会执行此操作。
最后一个难题是 Firebase 有许多(有意未记录或 under-documented)防止滥用的安全措施,例如各种类型的速率限制和配额。
哦,我建议您在大多数测试中使用 local emulators,因为这样会更快,不会因快速编码错误而意外增加费用的风险,并且(大多数此处相关)没有影响您的 e2e 测试的速率限制。
有人可以向我解释为什么坏人不能对我的应用程序的潜在新用户造成以下干扰吗?
坏演员:
从暗网或其他一些恶意来源获取电子邮件列表。
通过检查我的应用程序获取我的 Firebase 密钥 javascript -- 是的,我的应用程序被缩小了,但它仍然是可能的。
在本地浏览器上将恶意 javascript 代码插入到我的应用程序源中。恶意代码使用 Firebase sdk 和我的应用程序密钥为每个电子邮件地址创建帐户。
虽然坏人不可能获得对经过验证的帐户的访问权限;
尽管如此,创建这些帐户会向电子邮件所有者生成未经请求的电子邮件验证请求,并且还会干扰这些用户在实际想要注册时顺利创建帐户的体验。
我是不是漏掉了什么?
firebaser 在这里
正如 Dharmaraj 还评论的那样:您在应用中包含的 Firebase 配置用于标识代码应连接到的项目,它本身并不是任何一种安全机制。在
您在问题中已经指出,创建大量帐户不会将用户数据置于风险之中,这确实也是正确的。在您的项目中创建帐户不会授予用户对您项目中其他用户帐户或数据的任何访问权限。如果您使用 Firebase 的后端服务之一,则应确保该服务的 security rules 也不会执行此操作。
最后一个难题是 Firebase 有许多(有意未记录或 under-documented)防止滥用的安全措施,例如各种类型的速率限制和配额。
哦,我建议您在大多数测试中使用 local emulators,因为这样会更快,不会因快速编码错误而意外增加费用的风险,并且(大多数此处相关)没有影响您的 e2e 测试的速率限制。