![](/img/trans.png)
[英]Firebase Authentication Security: Making email+password errors generic
[英]Does Firebase Email and Password authentication have any security configuration options?
在嗅探Firebase流量時,我已經看到代碼被傳遞給auth服務器,因此它總是返回200狀態代碼。 這表明在身份驗證協議中某些級別存在某種級別的可選安全性。
當用戶輸入不存在的電子郵件地址時,如果輸入錯誤的密碼,是否有辦法導致Firebase身份驗證失敗並顯示相同的錯誤消息?
INVALID_USER
狀態代碼讓我擔心用戶枚舉攻擊的可能性,在我的應用程序通過腳本注入受到攻擊的情況下。
有關如何更安全地鎖定Firebase身份驗證協議的信息,和/或某些關於智能速率限制(某種程度上是分布式攻擊免疫?)的聲明可能會對我保證Firebase的內置電子郵件和密碼有很長的路要走auth確實是安全的(假設Firebase規則設置正確,證書不會在客戶端上受到損害等)。
(Firebase員工)目前,答案是否定的:您無法控制向客戶端報告的狀態代碼。
好消息是枚舉攻擊相當困難,因為我們通過原點限制請求以減輕任何蠻力方法。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.