Какие механизмы безопасности есть у Метеора? [закрыто]

Мы все знаем, что Meteor предлагает драйвер miniMongo, который позволяет клиенту получить доступ к постоянному слою (MongoDB).

Если любой клиент может получить доступ к постоянному API, как защитить его приложение?

Какие механизмы безопасности предоставляет Meteor и в каком контексте они должны использоваться?

91 голос | спросил Olivier Refalo 11 AMpWed, 11 Apr 2012 08:32:49 +040032Wednesday 2012, 08:32:49

4 ответа


0

Когда вы создаете приложение с помощью команды meteor, по умолчанию оно включает в себя следующие пакеты:

  • AUTOPUBLISH
  • небезопасных

Вместе они подражают эффекту каждого клиента, имеющего полный доступ на чтение /запись к базе данных сервера. Это полезные инструменты для создания прототипов (только в целях разработки), но обычно они не подходят для производственных приложений. Когда вы будете готовы к выпуску, просто удалите эти пакеты.

Чтобы добавить больше, Meteor поддерживает пакеты Facebook /Twitter /и многое другое для проверки подлинности, и самый крутой - Интерфейс аккаунта

ответил Murali Ramakrishnan 19 +04002012-10-19T07:30:44+04:00312012bEurope/MoscowFri, 19 Oct 2012 07:30:44 +0400 2012, 07:30:44
0

В документе коллекций говорится:

  

В настоящее время клиенту предоставляется полный доступ на запись в коллекцию.   Они могут выполнять произвольные команды обновления Mongo. Когда мы строим   аутентификация, вы сможете ограничить прямой доступ клиента   вставлять, обновлять и удалять. Мы также рассматриваем валидаторы и   другие ORM-подобные функции.

ответил pomber 11 AMpWed, 11 Apr 2012 08:39:04 +040039Wednesday 2012, 08:39:04
0

Если вы говорите об ограничении клиента не использовать какой-либо из ваших несанкционированных API вставки /обновления /удаления, это возможно.

См. их приложение todo на странице https://github.com/meteor/meteor/tree/17181600bab026b5b2eb. /примеры /Todos

Кроме того, теперь они добавили встроенный модуль AUTH, который позволяет вам входить и регистрироваться. Так что это безопасно. Насколько вы заботитесь о XSS, оценках, клиентских заголовках и т. Д.

но вы можете в любой момент преобразовать приложение метеор в полностью работающее приложение nodejs, развернув его на узле. Поэтому, если вы знаете, как защитить приложение nodejs, вы сможете защитить метеор.

ответил Hitesh Joshi 21 stEurope/Moscowp30Europe/Moscow09bEurope/MoscowFri, 21 Sep 2012 10:18:35 +0400 2012, 10:18:35
0

Начиная с версии 0.6.4, в режиме разработки блоки is_client и is_server по-прежнему отправляются в клиентскую систему. Я не могу сказать, разделяются ли они, когда вы выключаете режим разработки.

Однако, если это не так, хакер может получить представление о системе, просмотрев блоки кода if (Meteor.is_server). Это особенно касается меня, особенно потому, что я отметил, что до сих пор не могу разделить Коллекции на отдельные файлы на клиенте и сервере.

Update

Дело в том, что не помещайте связанный с безопасностью код в блок is_server в несерверном каталоге (т. е. убедитесь, что он находится в каталоге /server.

Я хотел посмотреть, не сошел ли я с ума от невозможности разделения клиентских и серверных коллекций в клиентских и серверных каталогах. На самом деле с этим проблем нет.

Вот мой тест. Это простой пример модели публикации /подписки, которая, кажется, работает нормально. http://goo.gl/E1c56

ответил DrM 2 J000000Tuesday13 2013, 18:58:26

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132