23

最近、 parse.comがいかに便利で簡単かを発見しました。これにより、開発が本当にスピードアップし、Web/モバイルアプリからのすべてのデータを保存するための既製のデータベースが提供されます.

しかし、それはどれほど安全ですか?私が理解していることから、アプリの秘密鍵をコードに埋め込んで、データへのアクセスを許可する必要があります。

しかし、誰かがあなたのアプリからキーを復元できたらどうでしょうか? 私はそれを自分で試しました。標準の APK から秘密鍵を見つけるのに 5 分かかりました。また、JavaScript ソースにハードコードされた秘密鍵を使用して Web アプリを構築することもでき、ほとんどの人がそれを見ることができます。

私が見つけたデータを保護する唯一の方法は ACL ( https://www.parse.com/docs/data ) ですが、それでも書き込み可能なデータは誰でも改ざんできる可能性があります。

誰か教えてください。

4

4 に答える 4

18

バックエンド サーバーと同様に、潜在的に悪意のあるクライアントから保護する必要があります。Parse には、それを支援するためのいくつかのレベルのセキュリティがあります。

あなたが言ったように、最初のステップはACLsです。また、データ ブラウザーでアクセス許可を変更して、承認されていないクライアントが新しいクラスを作成したり、既存のクラスに行や列を追加したりできないようにすることもできます。

そのレベルのセキュリティに満足できない場合は、Cloud Functionsを介してデータ アクセスをプロキシできます。これは、仮想アプリケーション サーバーを作成して、クライアントとバックエンド データ ストア間のアクセス制御レイヤーを提供するようなものです。

于 2012-11-11T20:31:54.180 に答える