Firebase 电子邮件和密码身份验证是否有任何安全配置选项?
Does Firebase Email and Password authentication have any security configuration options?
在嗅探 Firebase 流量时,我看到一个代码被传递到 auth 服务器,因此它总是 returns 一个 200 状态代码。这表明在身份验证协议的某个级别上存在某种级别的可选安全性。
当用户输入不存在的电子邮件地址时,是否有办法导致 Firebase 身份验证失败并显示与输入错误密码时相同的错误消息?
The INVALID_USER status code gives me concern about the potential for a user enumeration attack,以防我的应用程序因脚本注入而受到威胁。
关于如何更安全地锁定 Firebase 身份验证协议的信息,and/or 正在应用的关于智能速率限制(某种分布式攻击免疫?)的某种声明可能会在很长一段时间内向我保证Firebase 的内置电子邮件和密码验证确实是安全的(假设 Firebase 规则设置正确,客户端上的证书没有受到损害等)。
(Firebase 员工)目前,答案是否定的:您无法控制报告给客户端的状态代码。
好消息是枚举攻击相当困难,因为我们通过来源限制请求以减轻任何暴力方法。
在嗅探 Firebase 流量时,我看到一个代码被传递到 auth 服务器,因此它总是 returns 一个 200 状态代码。这表明在身份验证协议的某个级别上存在某种级别的可选安全性。
当用户输入不存在的电子邮件地址时,是否有办法导致 Firebase 身份验证失败并显示与输入错误密码时相同的错误消息?
The INVALID_USER status code gives me concern about the potential for a user enumeration attack,以防我的应用程序因脚本注入而受到威胁。
关于如何更安全地锁定 Firebase 身份验证协议的信息,and/or 正在应用的关于智能速率限制(某种分布式攻击免疫?)的某种声明可能会在很长一段时间内向我保证Firebase 的内置电子邮件和密码验证确实是安全的(假设 Firebase 规则设置正确,客户端上的证书没有受到损害等)。
(Firebase 员工)目前,答案是否定的:您无法控制报告给客户端的状态代码。
好消息是枚举攻击相当困难,因为我们通过来源限制请求以减轻任何暴力方法。