เราทุกคนรู้ดีว่า Meteor มีไดรเวอร์ miniMongo ซึ่งช่วยให้ไคลเอนต์เข้าถึงเลเยอร์ถาวร (MongoDB) ได้อย่างราบรื่น
หากลูกค้ารายใดสามารถเข้าถึง API ถาวรได้วิธีหนึ่งจะทำให้แอปพลิเคชันของเขาปลอดภัยได้อย่างไร
กลไกการรักษาความปลอดภัยที่ Meteor มีให้คืออะไรและควรใช้ในบริบทใด?
คำตอบ:
เมื่อคุณสร้างแอปโดยใช้คำสั่งดาวตกโดยค่าเริ่มต้นแอปจะมีแพ็คเกจต่อไปนี้:
เมื่อรวมกันแล้วสิ่งเหล่านี้จะเลียนแบบผลกระทบของไคลเอนต์แต่ละรายที่มีสิทธิ์เข้าถึงฐานข้อมูลของเซิร์ฟเวอร์แบบอ่าน / เขียนอย่างสมบูรณ์ สิ่งเหล่านี้เป็นเครื่องมือสร้างต้นแบบที่มีประโยชน์ (เพื่อการพัฒนาเท่านั้น) แต่โดยทั่วไปแล้วไม่เหมาะสำหรับการใช้งานในการผลิต เมื่อคุณพร้อมสำหรับรุ่นที่ใช้งานจริงเพียงแค่นำแพ็คเกจเหล่านี้ออก
หากต้องการเพิ่มมากขึ้น Meteor รองรับแพ็คเกจFacebook / Twitter / และอีกมากมายเพื่อจัดการการรับรองความถูกต้องและที่เด็ดที่สุดคือแพ็คเกจAccounts-UI
meteor remove autopublish insecureๆ
access deniedข้อผิดพลาด ลองดูสิ
ในเอกสารคอลเลกชันกล่าวว่า:
ขณะนี้ไคลเอ็นต์ได้รับสิทธิ์การเขียนเต็มไปยังคอลเล็กชัน พวกเขาสามารถรันคำสั่งอัพเดต Mongo ได้ตามอำเภอใจ เมื่อเราสร้างการรับรองความถูกต้องคุณจะสามารถ จำกัด การเข้าถึงโดยตรงของลูกค้าเพื่อแทรกอัปเดตและลบ เรากำลังพิจารณาตัวตรวจสอบความถูกต้องและฟังก์ชันอื่น ๆ ที่คล้ายกับ ORM
หากคุณกำลังพูดถึงการ จำกัด ไคลเอ็นต์ไม่ให้ใช้แทรก / อัปเดต / ลบ API ที่ไม่ได้รับอนุญาตของคุณก็เป็นไปได้
ดูแอปสิ่งที่ต้องทำของพวกเขาได้ที่https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos
นอกจากนี้พวกเขายังได้เพิ่มโมดูล AUTH ในตัวซึ่งช่วยให้คุณสามารถเข้าสู่ระบบและลงทะเบียนได้ จึงปลอดภัย เท่าที่คุณดูแล XSS, Valiation, Client Headers เป็นต้น
แต่คุณสามารถแปลงแอพดาวตกเป็นแอปพลิเคชัน nodejs ที่ทำงานได้อย่างสมบูรณ์ทุกวันโดยปรับใช้กับโหนด ดังนั้นหากคุณรู้วิธีรักษาความปลอดภัยแอปพลิเคชัน nodejs คุณควรจะสามารถรักษาความปลอดภัยของดาวตกได้
ณ 0.6.4 ระหว่างโหมดการพัฒนาบล็อก is_client และ is_server ยังคงไปที่ระบบไคลเอนต์ ฉันไม่สามารถพูดได้ว่าสิ่งเหล่านี้แยกออกจากกันเมื่อคุณปิดโหมดการพัฒนา
อย่างไรก็ตามหากไม่เป็นเช่นนั้นแฮ็กเกอร์อาจได้รับข้อมูลเชิงลึกจากระบบโดยตรวจสอบบล็อกของโค้ด if (Meteor.is_server) สิ่งนี้ทำให้ฉันกังวลเป็นพิเศษโดยเฉพาะอย่างยิ่งเนื่องจากฉันสังเกตว่าในตอนนี้ฉันยังไม่สามารถแยกคอลเล็กชันออกเป็นไฟล์แยกกันบนไคลเอนต์และเซิร์ฟเวอร์ได้
ประเด็นคืออย่าใส่รหัสที่เกี่ยวข้องกับความปลอดภัยในบล็อก is_server ในไดเรกทอรีที่ไม่ใช่เซิร์ฟเวอร์ (เช่น - ตรวจสอบให้แน่ใจว่าอยู่ในสิ่งที่อยู่ภายใต้ / เซิร์ฟเวอร์
ฉันต้องการดูว่าฉันรู้สึกไม่ดีที่ไม่สามารถแยกคอลเลกชันไคลเอนต์และเซิร์ฟเวอร์ในไดเร็กทอรีไคลเอนต์และเซิร์ฟเวอร์ได้หรือไม่ ในความเป็นจริงไม่มีปัญหากับเรื่องนี้
นี่คือการทดสอบของฉัน เป็นตัวอย่างง่ายๆของรูปแบบการเผยแพร่ / สมัครสมาชิกที่ดูเหมือนจะใช้งานได้ดี http://goo.gl/E1c56