फायरबेस डेटाबेस बैक-एंड प्रदान करता है ताकि डेवलपर्स क्लाइंट साइड कोड पर ध्यान केंद्रित कर सकें।
इसलिए अगर कोई मेरी फायरबेस यूरिया (उदाहरण के लिए https://firebaseinstance.firebaseio.com) लेता है, तो उस पर स्थानीय स्तर पर विकास करें ।
फिर, क्या वे मेरे फायरबेस उदाहरण से एक और ऐप बनाने में सक्षम होंगे, मेरे फायरबेस ऐप के सभी डेटा पढ़ने के लिए खुद को प्रमाणित और प्रमाणित करेंगे?
जवाबों:
@ फ्रेंक वैन पफलेन,
आपने फ़िशिंग हमले का उल्लेख किया। वास्तव में उसके लिए सुरक्षित करने का एक तरीका है।
यदि आप अपने googleAPI API प्रबंधक कंसोल में लॉग इन करते हैं, तो आपके पास एक विकल्प है जिसे HTTP संदर्भित करता है जिससे आपका ऐप अनुरोध स्वीकार करेगा।
यह केवल श्वेतसूची वाले डोमेन को आपके ऐप का उपयोग करने की अनुमति देता है।
यह भी यहां फायरबेस लॉन्च-चेकलिस्ट में वर्णित है: https://firebase.google.com/support/guides/launch-checklist
शायद फायरबेस डॉक्यूमेंटेशन इसे अधिक दृश्यमान बना सकता है या स्वतः ही डिफ़ॉल्ट रूप से डोमेन को लॉक कर सकता है और उपयोगकर्ताओं को एक्सेस की अनुमति देने की आवश्यकता होती है?
यह तथ्य कि कोई व्यक्ति आपके URL को जानता है, सुरक्षा जोखिम नहीं है।
उदाहरण के लिए: मुझे आपको यह बताने में कोई समस्या नहीं है कि मेरा बैंक bankofamerica.com पर अपनी वेब साइट होस्ट करता है और यह वहां HTTP प्रोटोकॉल बोलता है। जब तक आप उस साइट को एक्सेस करने के लिए मेरे द्वारा उपयोग किए जाने वाले क्रेडेंशियल को भी नहीं जानते, तब तक URL जानना आपको अच्छा नहीं लगता।
आपके डेटा को सुरक्षित करने के लिए, आपके डेटाबेस को इसके साथ संरक्षित किया जाना चाहिए:
यह सभी सुरक्षा और नियमों पर फायरबेस प्रलेखन में शामिल है , जिसकी मैं अत्यधिक अनुशंसा करता हूं।
इन सुरक्षा नियमों के साथ, आपके डेटाबेस में डेटा को एक्सेस करने का एकमात्र तरीका यह है कि क्या वे आपके एप्लिकेशन की कार्यक्षमता की प्रतिलिपि बनाते हैं, तो उपयोगकर्ता आपके बजाय उनके ऐप में साइन इन करें और साइन इन करें / से पढ़ें / लिखें आपका डेटाबेस; अनिवार्य रूप से एक फ़िशिंग हमला। उस मामले में डेटाबेस में कोई सुरक्षा समस्या नहीं है, हालांकि इसके कुछ अधिकारियों को शामिल करने का समय है।
https://tinderclone.firebaseio.com/और https://tinderclone.firebaseio.com/profiles.json। वे असली फायरबेस डेटाबेस हैं। क्या आप इसे बंद कर सकते हैं, एक साइनअप फॉर्म और ईमेल के साथ लॉगिन फॉर्म बना सकते हैं। चूंकि मेरा ऐप किसी को भी ईमेल के साथ रजिस्टर करने की अनुमति देता है, आपके पंजीकृत होने के बाद, क्या आप सभी डेटा पढ़ पाएंगे? मैं आपसे बाद में एक और सवाल पूछूंगा। धन्यवाद
".read": falseसे किसी को भी डेटा देखने से रोका जा सकेगा। आप शायद उससे थोड़ा अधिक अनुमति देना चाहते हैं, लेकिन यह सब आपके उपयोग-मामले पर निर्भर करता है। सिक्योरिटी एंड रूल्स पर डेटा सुरक्षित करना फायरबेस डॉक्यूमेंटेशन में शामिल है ।
मोबाइल एप्लिकेशन के लिए प्रामाणिक श्वेत-सूची के बारे में, जहां डोमेन नाम लागू नहीं है, फायरबेस है
1) SHA1 fingerprintके लिए Android एप्लिकेशन और
2) App Store ID and Bundle ID and Team ID (if necessary)अपने iOS ऐप्स के लिए
जिसे आपको फायरबेस कंसोल में कॉन्फ़िगर करना होगा।
यह सुरक्षा के साथ, के बाद से मान्यता नहीं है बस अगर किसी को मान्य API कुंजी, प्रमाणीकरण डोमेन, आदि है, लेकिन यह भी, यह हमारे अधिकृत क्षुधा से और आने वाले है domain name/HTTP referrer in caseकी वेब ।
कहा कि, अगर इन एपीआई कुंजी और अन्य कनेक्शन परमों को दूसरों के संपर्क में रखा जाए तो हमें चिंता करने की जरूरत नहीं है।
अधिक जानकारी के लिए, https://firebase.google.com/support/guides/launch-checklist