temporada reparto online meteoros jardin garden capitulos mongodb security meteor

mongodb - reparto - ¿Qué mecanismos de seguridad tiene Meteor?



meteor garden netflix (4)

A partir de 0.6.4, durante el modo de desarrollo, los bloques is_client e is_server aún van al sistema cliente. No puedo decir si estos están segregados cuando desactivas el modo de desarrollo.

Sin embargo, si no lo son, un pirata informático podría obtener información del sistema revisando los bloques del código if (Meteor.is_server). Eso me preocupa particularmente, especialmente porque noté que todavía no puedo segregar las colecciones en archivos separados en el cliente y el servidor.

Actualizar

Bueno, el punto es que no coloque el código relacionado con la seguridad en un bloque is_server en un directorio que no sea servidor (es decir, asegúrese de que esté en algo bajo / server.

Quería ver si estaba loco por no poder segregar colecciones de clientes y servidores en los directorios de clientes y servidores. De hecho, no hay problema con esto.

Aquí está mi prueba. Es un ejemplo simple del modelo de publicación / suscripción que parece funcionar bien. http://goo.gl/E1c56

Todos sabemos que Meteor ofrece el controlador miniMongo que permite al cliente acceder sin problemas a la capa persistente (MongoDB).

Si algún cliente puede acceder a la API persistente, ¿cómo protege su aplicación?

¿Cuáles son los mecanismos de seguridad que proporciona Meteor y en qué contexto deberían usarse?

Cuando crea una aplicación utilizando el comando meteor, de forma predeterminada, la aplicación incluye los siguientes paquetes:

  • AUTOPUBLICA
  • INSEGURO

Juntos, imitan el efecto de que cada cliente tenga acceso completo de lectura / escritura a la base de datos del servidor. Estas son herramientas de creación de prototipos útiles (solo para fines de desarrollo), pero normalmente no son apropiadas para aplicaciones de producción. Cuando esté listo para la versión de producción, simplemente elimine estos paquetes.

Para agregar más, Meteor admite los paquetes Facebook / Twitter / y Mucho más para manejar la autenticación, y lo más genial es el paquete Accounts-UI

En el documento de colecciones dice:

Actualmente, el cliente tiene acceso de escritura completo a la colección. Pueden ejecutar comandos de actualización de Mongo arbitrarios. Una vez que construimos la autenticación, podrá limitar el acceso directo del cliente para insertar, actualizar y eliminar. También estamos considerando validadores y otras funcionalidades similares a ORM.

Si está hablando de restringir al cliente para que no use ninguna de sus API de inserción / actualización / eliminación no autorizadas, eso es posible.

Mira su aplicación para https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos en https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos

Además, ahora han agregado un módulo AUTH integrado, que te permite iniciar sesión y registrarte. Entonces es seguro. En lo que respecta a XSS, Valiations, encabezados de clientes, etc.

pero puedes convertir la aplicación de meteoritos cualquier día en una aplicación nodejs totalmente operativa desplegándote en un nodo. Entonces, si sabes cómo proteger una aplicación nodejs, deberías ser capaz de proteger el meteoro.