Вопрос по mongodb – Какие механизмы безопасности есть у Метеора? [закрыто]

91

Все мы знаем, что Meteor предлагает драйвер miniMongo, который позволяет клиенту получить доступ к постоянному слою (MongoDB).

Если какой-либо клиент может получить доступ к постоянному API, как защитить его приложение?

Какие механизмы безопасности предоставляет Метеор и в каком контексте их следует использовать?

да, плз читать ответы. Olivier Refalo
Meteor 0.5.0 добавлена аутентификация пользователяmeteor.com/blog/2012/10/17/… hipertracker
Мне нравится, что это уже решается, но они действительно должны были упомянуть об этом в видео. Я думаю, что почти любой веб-разработчик, наблюдающий за этим, задумывается над этим вопросом от 10 секунд до конца, и просто раздражен тем, что для такого замечательного продукта они, похоже, полностью игнорируют очевидную проблему безопасности. Naatan
Мнение основано? Wat? Я полагаю, что это был повторный аудит, поскольку он явно не основан на мнениях. bjb568
Вы можете перефразировать это немного, чтобы снова открыть. Возможно "Какие меры безопасности мне следует предпринять?" или & quot; Какие параметры безопасности доступны? & quot; joeytwiddle

Ваш Ответ

4   ответа
35

коллекции документо гоорит:

Currently the client is given full write access to the collection. They can execute arbitrary Mongo update commands. Once we build authentication, you will be able to limit the client's direct access to insert, update, and remove. We are also considering validators and other ORM-like functionality.

Error: User Rate Limit Exceeded
Error: User Rate Limit Exceededquora.com/Meteor-web-framework/Whats-cool-about-Meteor/answer/…
Error: User Rate Limit Exceeded
5

несанкционированных API вставки / обновления / удаления, это возможно.

Смотрите их, приложение todo наhttps://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos

Кроме того, теперь они добавили встроенный модуль AUTH, который позволяет вам войти и зарегистрироваться. Так что это безопасно. Насколько вы заботитесь о XSS, оценках, клиентских заголовках и т. Д.

но вы можете в любой момент преобразовать приложение метеор в полностью работающее приложение nodejs, развернув его на узле. Поэтому, если вы знаете, как защитить приложение nodejs, вы сможете защитить метеор.

Error: User Rate Limit Exceeded Olivier Refalo
2

в режиме разработки блоки is_client и is_server sti, оба будут переходить в клиентскую систему. Я не могу сказать, разделяются ли они, когда вы выключаете режим разработки.

Однако, если это не так, хакер может получить представление о системе, просмотрев блоки кода if (Meteor.is_server). Это особенно касается меня, особенно потому, что я отметил, что до сих пор не могу разделить Коллекции на отдельные файлы на клиенте и сервере.

Update

Дело в том, что не нужно помещать код, связанный с безопасностью, в блок is_server в несерверном каталоге (т. Е. Убедиться, что он находится в каталоге / server).

Я хотел посмотреть, не сошёл ли я с ума от невозможности разделения клиентских и серверных коллекций в каталогах клиентов и серверов. На самом деле с этим проблем нет.

Вот мой тест. Это простой пример модели публикации / подписки, которая, кажется, работает нормально. http://goo.gl/E1c56

Error: User Rate Limit Exceeded
Error: User Rate Limit Exceededdocs.meteor.com/#structuringyourappError: User Rate Limit Exceeded
Error: User Rate Limit Exceeded
Error: User Rate Limit Exceeded Olivier Refalo
Error: User Rate Limit Exceeded
64

по умолчанию оно включает в себя следующие пакеты:

AUTOPUBLISH INSECURE

Вместе они имитируют эффект того, что каждый клиент имеет полный доступ на чтение / запись к базе данных сервера. Это полезные инструменты для создания прототипов (только в целях разработки), но обычно они не подходят для производственных приложений. Когда вы будете готовы к выпуску, просто удалите эти пакеты.

Чтобы добавить больше, Meteor поддерживаетFacebook / Twitter / и многое другое пакеты для обработки аутентификации, и самый крутойСчета-UI пакет

Error: User Rate Limit Exceededinsecure for testing purposes onlyError: User Rate Limit Exceededmeteor remove autopublish insecure.
Error: User Rate Limit Exceeded
Error: User Rate Limit Exceeded Olivier Refalo
Error: User Rate Limit Exceededaccess deniedError: User Rate Limit Exceeded
Error: User Rate Limit Exceeded

Похожие вопросы