有人可以向我解釋為什么一個壞演員不能對我的應用程式的潛在新用戶造成以下干擾嗎?
壞演員:
從暗網或其他惡意來源獲取電子郵件串列。
通過檢查我的應用程式 javascript 來獲取我的 Firebase 密鑰——是的,我的應用程式已被縮小,但它仍然是可能的。
在他們的本地瀏覽器上將惡意 javascript 代碼插入我的應用程式源中。惡意代碼使用 Firebase sdk 和我的應用密鑰為每個電子郵件地址創建帳戶。
雖然不良行為者不可能訪問經過驗證的帳戶;
但是,創建這些帳戶會向電子郵件所有者發出未經請求的電子郵件驗證請求,并且還會干擾這些用戶在實際想要注冊時的流暢帳戶創建體驗。
我在這里錯過了什么嗎?
uj5u.com熱心網友回復:
火力基地在這里
正如 Dharmaraj 還評論的那樣:您在應用程式中包含的 Firebase 配置用于標識代碼應連接到的專案,它本身并不是任何型別的安全機制。在向公眾公開 Firebase apiKey 是否安全?
您已經在問題中指出,創建大量帳戶不會使用戶資料面臨風險,這確實也是正確的。在您的專案中創建帳戶不會授予用戶對您專案中其他用戶帳戶或資料的任何訪問權限。如果您使用 Firebase 的后端服務之一,則應確保該服務的安全規則也不會這樣做。
最后一個難題是 Firebase 有許多(故意未記錄或記錄不足)防止濫用的安全措施,例如各種型別的速率限制和配額。
哦,我建議您在大多數測驗中使用本地模擬器,因為這樣會更快,不會因快速編碼錯誤而意外收取費用,并且(此處最相關)沒有影響您的 e2e 測驗的速率限制。
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/454471.html
上一篇:如何從firebase示例中洗掉一項,我只想從子項中洗掉“childid1”
下一篇:React-Native-Firebase傳播auth().currentUser物件{...auth().currentUser}