[英]Firebase Accounts: potential service attack?
有人可以向我解释为什么坏人不能对我的应用程序的潜在新用户造成以下破坏吗?
坏演员:
从黑暗的 web 或其他一些恶意来源获取电子邮件列表。
通过检查我的应用程序 javascript 获取我的 Firebase 密钥——是的,我的应用程序被缩小了,但它仍然是可能的。
在本地浏览器上将恶意 javascript 代码插入到我的应用程序源中。 恶意代码使用 Firebase sdk 和我的应用程序密钥为每个 email 地址创建帐户。
虽然坏人不可能访问经过验证的帐户;
尽管如此,创建这些帐户会向电子邮件所有者生成未经请求的 email 验证请求,并且当这些用户确实想要注册时,它还会干扰这些用户顺利创建帐户的体验。
我在这里错过了什么吗?
炮兵在这里
正如 Dharmaraj 还评论的那样:您在应用程序中包含的 Firebase 配置用于标识代码应连接到的项目,它本身并不是任何一种安全机制。 在向公众公开 Firebase apiKey 安全吗?
您已经在问题中指出,创建一系列帐户不会使用户数据面临风险,这确实也是正确的。 在您的项目中创建帐户不会授予用户对您项目中其他用户帐户或数据的任何访问权限。 如果您使用 Firebase 的后端服务之一,则应确保该服务的安全规则也不会执行此操作。
谜题的最后一块是 Firebase 有许多(有意未记录或记录不足的)安全防护措施防止滥用,例如各种类型的速率限制和配额。
哦,我建议您在大部分测试中使用本地模拟器,因为这样会更快,不会因快速编码错误而意外增加费用的风险,并且(此处最相关)没有影响端到端测试的速率限制。
使用 Firebase Admin SDK 处理多个服务帐户的最佳方法是什么?
[英]What is the best approach for handling multiple Service Accounts with Firebase Admin SDK?
是否可以使用云 firestore 规则将 firebase firestore 访问权限限制为仅服务帐户和 API 密钥?
[英]Is it possible to restrict firebase firestore access to only service accounts and API keys using cloud firestore rules?
在 Power BI(服务和桌面)中使用多个 google bigquery 服务帐户
[英]Use Multiple google bigquery service accounts in Power BI (Service & Desktop)
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
