उल्का के पास क्या सुरक्षा तंत्र है? [बन्द है]

हम सभी जानते हैं कि उल्का मिनीमोंगो चालक प्रदान करता है जो ग्राहक को लगातार परत (मोंगोडीबी) तक पहुंचने की अनुमति देता है।

यदि कोई भी क्लाइंट लगातार एपीआई तक पहुंच सकता है तो कोई अपने आवेदन को कैसे सुरक्षित कर सकता है?

उल्का प्रदान करने वाले सुरक्षा तंत्र क्या हैं और उनका उपयोग किस संदर्भ में किया जाना चाहिए?

जब आप उल्का कमांड का उपयोग करके एक ऐप बनाते हैं, तो डिफ़ॉल्ट रूप से ऐप में निम्नलिखित पैकेज शामिल होते हैं:

• AUTOPUBLISH
• असुरक्षित

साथ में, ये प्रत्येक क्लाइंट के सर्वर के डेटाबेस तक पूर्ण पढ़ने / लिखने की पहुंच के प्रभाव की नकल करते हैं। ये उपयोगी प्रोटोटाइप टूल (केवल विकास के उद्देश्य) हैं, लेकिन आमतौर पर उत्पादन अनुप्रयोगों के लिए उपयुक्त नहीं हैं। जब आप प्रोडक्शन रिलीज़ के लिए तैयार हों, तो इन पैकेजों को हटा दें।

अधिक जोड़ने के लिए, उल्का प्रमाणीकरण को संभालने के लिए फेसबुक / ट्विटर / और बहुत अधिक संकुल का समर्थन करता है , और सबसे अच्छा खाता-यूआई पैकेज है

में संग्रह दस्तावेज़ का कहना है:

वर्तमान में क्लाइंट को संग्रह के लिए पूरा लेखन एक्सेस दिया जाता है। वे मनमाने ढंग से मैंगो अपडेट कमांड निष्पादित कर सकते हैं। एक बार जब हम प्रमाणीकरण का निर्माण कर लेते हैं, तो आप ग्राहक की सीधी पहुँच को सम्मिलित करने, अद्यतन करने और हटाने के लिए सीमित कर सकेंगे। हम सत्यापनकर्ताओं और अन्य ORM जैसी कार्यक्षमता पर भी विचार कर रहे हैं।

यदि आप क्लाइंट को अपने अनधिकृत इंसर्ट / अपडेट / डिलीट एपीआई में से किसी का उपयोग नहीं करने के लिए प्रतिबंधित करने के बारे में बात कर रहे हैं, तो संभव है।

Https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/dodos पर उनका टूडू ऐप देखें

इसके अलावा, उन्होंने अब एक ऑटोह मॉड्यूल बनाया है, जो आपको लॉगिन और रजिस्टर करने देता है। तो यह सुरक्षित है। जहाँ तक आप XSS, Valiations, क्लाइंट हेडर आदि का ध्यान रख रहे हैं।

लेकिन आप किसी भी दिन उल्का ऐप को नोड में तैनात करके पूरी तरह से काम करने वाले नोडज एप्लिकेशन में बदल सकते हैं। इसलिए यदि आप जानते हैं कि एक नोडज एप्लिकेशन को कैसे सुरक्षित किया जाए तो आपको उल्का को सुरक्षित करने में सक्षम होना चाहिए।

0.6.4 तक, विकास मोड के दौरान, is_client और is_server ब्लॉक अभी भी दोनों क्लाइंट सिस्टम पर जाते हैं। जब आप विकास मोड को बंद कर देते हैं तो मैं इन्हें अलग नहीं कर सकता।

हालाँकि, यदि वे नहीं हैं, तो एक हैकर यदि (Meteor.is_server) कोड के ब्लॉक की समीक्षा करके सिस्टम से जानकारी प्राप्त करने में सक्षम हो सकता है। यह विशेष रूप से मुझे चिंतित करता है, खासकर क्योंकि मैंने नोट किया कि मैं अभी भी इस बिंदु पर क्लाइंट और सर्वर पर अलग-अलग फ़ाइलों में संग्रह को अलग नहीं कर सकता।

अपडेट करें

खैर, बिंदु को गैर-सर्वर निर्देशिका में is_server ब्लॉक में सुरक्षा से संबंधित कोड नहीं डाला जाता है (यानी - यह सुनिश्चित करें कि यह / सर्वर के तहत कुछ में है।

मैं यह देखना चाहता था कि क्या मैं क्लाइंट और सर्वर निर्देशिका में क्लाइंट और सर्वर कलेक्शंस को अलग करने में सक्षम नहीं था। वास्तव में इससे कोई समस्या नहीं है।

यहाँ मेरी परीक्षा है। यह प्रकाशित / सदस्यता मॉडल का एक सरल उदाहरण है जो ठीक काम करता है। http://goo.gl/E1c56