0

これがセキュリティ バグなのか、firefeed.firebaseio.com ルール設定の問題なのかはわかりません。

その前に、firebase を登録するときに api-key を取得しない理由が気になります。だから私の最初の質問が出てきます。(誰かがあなたのfirebase URLを知っていれば、誰でも簡単にデータを消去または編集できますか?)

次に、ルールがどのように機能するかを知りたくて、何かを試してみましたfirefeed.firebaseio.com。何かを書き込むことができるので、users/user_id/feedこのコードを使用してフィードに書き込みます。

var url = new Firebase('https://firefeed.firebaseIO.com');
    var authClient = new FirebaseAuthClient(url, function(error, user) {
        if (error) {

            console.log(error);

        } else if (user) {

            console.log(user);
            // user authenticated with Firebase
            var usersRef = url.child('/users/MYUSERID/feed');
            usersRef
                .set({
                        email: user.email,
                        username: user.username
                    });
        } else {
            // user is logged out
        }
    });

その後、すべてのフィードと次のフィードがなくなり、コードを実行した後にメールとユーザー名だけが残りました。ここに前後の写真を添付し​​ました。

ルールでスプーフィング ユーザーが設定されているため、自分のアカウント フィードを他のユーザーではなくワイプしているだけですが、これは危険ですか? どうすればこれを防ぐことができますか?

ここに画像の説明を入力

4

1 に答える 1

2

現在、セキュリティ ルールでは、 https ://github.com/firebase/firefeed/blob/master/rules.json#L14 の行に従って、独自のフィードを削除できます。

// The user is allowed to write everything in their bucket.
".write": "$userid == auth.id"

Firefeed のセキュリティ ルールからその行を削除することで、この動作を変更できます (もちろん、独自の展開では、firefeed.io のパブリック バージョンでこの動作を変更するつもりはありません)。

于 2013-05-22T06:45:20.777 に答える