reglas indexon firestore common security web-applications firebase firebase-security

security - indexon - Protección de Firebase: ¿Impedir que los administradores puedan ver los datos de todos los usuarios en Forge?



indexon rules firebase (1)

La única forma de garantizar la seguridad de la información es enrollar manualmente su propio cifrado en el servidor. Puede alojar el lado del servidor de conectividad de firebase y pedirle a su usuario que envíe los datos a través de SSL y, a partir de ahí, realice el cifrado y luego utilice la dirección SSL de firebase para almacenar.

En el lado del cliente, las cosas son sospechosas de los ataques de CSS. Si realmente desea seguir esta ruta, puede usar el cifrado js desde esta biblioteca: http://code.google.com/p/crypto-js/ . Tenga en cuenta que crpto-js funciona bien de forma aislada, pero también tendrá que asegurarse de que sus páginas web no estén alteradas (bastante difícil de hacer IMOP, porque no sabe qué está infectado el equipo de los usuarios)

Estoy creando una aplicación que almacena las notas potencialmente privadas de los usuarios. Para mí es un poco extraño que pueda acceder a la interfaz de usuario de Firebase Forge y buscar cualquier cosa que alguien haya escrito, y también significa que cualquier persona que de alguna manera obtenga acceso a mi cuenta de Firebase puede ingresar y seleccionar "Exportar JSON" para Obtener todos los datos de mis usuarios.

Obviamente, tengo cuidado con mi cuenta y soy un ser humano escrupuloso, pero en general parece una buena práctica que los administradores no tengan acceso a todos los datos de nuestros usuarios.

La única forma que se me ocurra para lograr esto sería almacenar todo en JSON de cadena cifrada con la contraseña del usuario, pero eso obviamente hace que el manejo de Firebase sea mucho más molesto, y evitaría el acceso granular a los datos que se encuentran debajo del punto en el que Las cosas están encadenadas y encriptadas.

Edición: Pensándolo bien, no es específico de Firebase, pero es el caso de la mayoría / todos los almacenes de datos, a menos que haga un esfuerzo para hacerlo de otra manera.