繁体 English 中英

Firebase电子邮件和密码身份验证是否具有任何安全配置选项？

[英]Does Firebase Email and Password authentication have any security configuration options?

原文 2015-09-29 09:13:10 2 1 security/ authentication/ firebase/ firebase-security

在嗅探Firebase流量时，我已经看到代码被传递给auth服务器，因此它总是返回200状态代码。 这表明在身份验证协议中某些级别存在某种级别的可选安全性。

当用户输入不存在的电子邮件地址时，如果输入错误的密码，是否有办法导致Firebase身份验证失败并显示相同的错误消息？

INVALID_USER状态代码让我担心用户枚举攻击的可能性，在我的应用程序通过脚本注入受到攻击的情况下。

有关如何更安全地锁定Firebase身份验证协议的信息，和/或某些关于智能速率限制（某种程度上是分布式攻击免疫？）的声明可能会对我保证Firebase的内置电子邮件和密码有很长的路要走auth确实是安全的（假设Firebase规则设置正确，证书不会在客户端上受到损害等）。

1 个解决方案

（Firebase员工）目前，答案是否定的：您无法控制向客户端报告的状态代码。

好消息是枚举攻击相当困难，因为我们通过原点限制请求以减轻任何蛮力方法。

Firebase 身份验证安全性：使电子邮件+密码错误通用

[英]Firebase Authentication Security: Making email+password errors generic

Firebase电子邮件/密码创建用户安全

[英]Firebase email / password createUser security

使用Firebase电子邮件/密码身份验证进行CSRF保护

[英]CSRF Protection with Firebase Email/Password Authentication

模糊安全模型是否在密码安全性方面占有一席之地？

[英]Does obfuscating a security model have a place in password security?

MSDTC是否有任何固有的安全风险？

[英]Does MSDTC have any inherent security risks?

AJAX是否有任何特殊的安全问题？

[英]Does AJAX have any special security concerns?

Firebase 身份验证安全

[英]Firebase Authentication Security

有安全电子邮件的选项吗？

[英]Are there any options for secure email?

Spring security 基本认证配置

[英]Spring security basic authentication configuration

Firebase .plist配置文件和安全性

[英]Firebase .plist configuration file and security

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Firebase 身份验证安全性：使电子邮件+密码错误通用 Firebase电子邮件/密码创建用户安全使用Firebase电子邮件/密码身份验证进行CSRF保护模糊安全模型是否在密码安全性方面占有一席之地？ MSDTC是否有任何固有的安全风险？ AJAX是否有任何特殊的安全问题？ Firebase 身份验证安全有安全电子邮件的选项吗？ Spring security 基本认证配置 Firebase .plist配置文件和安全性

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM